Automattic, perusahaan di belakang CMS WordPress, memasang paksa pembaruan keamanan di ratusan ribu situs web yang menjalankan Pembayaran WooCommerce yang sangat populer untuk toko online.
Plugin WordPress ini memiliki lebih dari 500.000 instalasi aktif dan dapat digunakan untuk menyediakan pelanggan toko dengan konfigurasi yang mudah dan mengelola checkout pembayaran.
Update Patch tersebut mengatasi kerentanan kritis yang memungkinkan penyerang yang tidak diautentikasi mendapatkan akses admin ke toko online.
Cacat ini dilaporkan oleh Michael Mazzolini dari GoldNetwork, dan memengaruhi Pembayaran WooCommerce 4.8.0 dan lebih tinggi.
WordFence mengatakan penyerang yang tidak diautentikasi dapat mengeksploitasi bug untuk “menyamar sebagai administrator dan sepenuhnya mengambil alih situs web tanpa memerlukan interaksi pengguna atau rekayasa sosial,” sementara Patchstack memperingatkan bahwa karena “kerentanan ini tidak memerlukan otentikasi, kemungkinan besar akan terjadi secara massal. segera dieksploitasi.”
Tim WooCommerce menambalnya dalam pembaruan keamanan yang dikeluarkan hari ini (23/03) dan mengatakan belum menemukan bukti bahwa bug kritis ini ditargetkan atau dieksploitasi secara liar.
“Saat ini kami tidak memiliki bukti bahwa kerentanan dieksploitasi selain mengidentifikasinya dalam program pengujian keamanan kami sendiri. Kami tidak yakin data toko atau pelanggan apa pun disusupi akibat kerentanan ini,” kata Beau Lebens, Kepala Teknik di WooCommerce.
“Kami segera menonaktifkan layanan yang terkena dampak dan memitigasi masalah untuk semua situs web yang dihosting di WordPress.com, Pressable, dan WPVIP.”
Pembaruan keamanan diluncurkan ke beberapa situs yang rentan
Toko online WooCommerce alami kerentanan pada hosting di WordPress.com sedang dalam proses pembaruan atau telah diperbarui untuk menutup kerentanan.
“Kami mengirimkan perbaikan dan bekerja dengan Tim Plugin WordPress.org untuk memperbarui situs secara otomatis yang menjalankan Pembayaran WooCommerce 4.8.0 hingga 5.6.1 ke versi yang terbarui. Pembaruan saat ini sedang diluncurkan secara otomatis ke sebanyak mungkin toko,” Lebens ditambahkan.
Admin yang menghosting instalasi WordPress di server mereka sendiri harus memperbarui WooCommerce secara manual menggunakan prosedur berikut:
- Dari dasbor Admin WP Anda, klik item menu Plugin dan cari Pembayaran WooCommerce di daftar plugin Anda.
- Nomor versi harus tampil di kolom Deskripsi di sebelah nama plugin. Jika nomor ini cocok dengan salah satu versi patch update yang tercantum di bawah, tidak diperlukan tindakan lebih lanjut.
- Jika versi baru tersedia untuk diunduh, Anda akan melihat pemberitahuan yang memandu Anda untuk memperbarui Pembayaran WooCommerce — silakan lanjutkan dan lakukan.
Versi Pembayaran WooCommerce yang ditambal: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2, dan 5.6.2.
Setelah mengamankan toko mereka, admin disarankan untuk memeriksa pengguna admin yang baru ditambahkan, dan postingan mencurigakan yang ditambahkan ke situs web mereka.
Jika Anda menemukan bukti aktivitas yang tidak terduga, Anda harus segera memperbarui semua kata sandi admin dan merotasi Gateway Pembayaran dan kunci API WooCommerce.
“Kami juga menyarankan untuk mengubah data pribadi atau rahasia apa pun yang disimpan di database WordPress/WooCommerce Anda. Ini mungkin termasuk kunci API, kunci publik/pribadi untuk gateway pembayaran, dan banyak lagi, tergantung pada konfigurasi toko khusus Anda,” kata Lebens.
Dikutip dari : Bleeping Computer