WooCommerce 4.6.2 is nu beschikbaar (security update!)

WooCommerce 4.6.2

Afgelopen week werd WooCommerce 4.6.2 uitgerold. Het betreft een security update met een patch voor een kwetsbaarheid die mensen in staat stelde om een account aan te maken tijdens het checkout proces, zelfs wanneer deze instelling was uitgeschakeld. Het WooCommerce team ontdekte de kwetsbaarheid nadat tientallen gebruikers meldingen maakten over spam orders of bestellingen met valse betaalgegevens. Toen bleek dat hun webwinkels werden aangevallen door een bot.

Kwetsbaarheid in WooCommerce

WooCommerce ontwikkelaar Rodrigo Primo beschreef hoe de bot te werk gaat:

Hosting en Webhosting bij Combell

“Het komt erop neer dat de bot in staat is om een gebruikersaccount aan te maken bij het plaatsen van de bestelling, door de bug te misbruiken die door [versie] 4.6.2 gerepareerd wordt. Na het aanmaken van het gebruikersaccount probeert de bot kwetsbaarheden te vinden in andere plugins die op de website geïnstalleerd zijn en een geverifieerd account zonder speciale rechten vereisen.”

WooCommerce 4.6.2 fix

WooCommerce adviseert gebruikers om zo snel mogelijk te updaten naar WooCommerce 4.6.2. Op die manier kun je voorkomen dat bots tijdens de checkout een account aanmaken. Na het installeren van de update moet je ook controleren of er geen valse accounts zijn aangemaakt door de bot, welke verwijderd moeten worden. Het installeren van de nieuwe update kan echter niet voorkomen dat bots nep-bestellingen doen. Daarom worden webshop eigenaren geadviseerd om aanvullende spam bescherming maatregelen te treffen. Er zijn diverse anti-spam WooCommerce extensies die je hiervoor kunt gebruiken. Ook gratis plugins zoals Advanced noCaptcha & Invisible Captcha en Fraud Prevention Plugin for WooCommerce kunnen de moeite waard zijn.

Tot slot

Het WooCommerce team is nog bezig om de oorzaak en impact van de kwetsbaarheid te onderzoeken. Zodra er meer over bekend is, zullen zij deze informatie publiceren. We adviseren WooCommerce gebruikers dan ook om het officiële WooCommerce ontwikkelaarsblog in de gaten te houden.

Korting op WordPress handleiding

Geef een reactie