Aktion erforderlich: Sicherheitsupdate für WooCommerce

In einer Blog-Benachrichtigung von The Woo Team bezüglich eines kritischen Sicherheitspatches für WooCommerce (Versionen 8.8.5 und 8.9.3)[1], der am 10. Juni 2024 veröffentlicht wurde, sind dringende Maßnahmen notwendig. Um Ihren Shop zu schützen, müssen Sie WooCommerce sofort auf die neueste Version aktualisieren. Wenn diese Schwachstelle nicht gepatcht wird, können Angreifer einen Website-Link manipulieren, um bösartige Inhalte einzuschleusen.

Was müssen Sie tun?

Wenn Ihre WooCommerce-Version bereits auf 8.9.3 aktualisiert wurde oder wenn Sie automatische Updates aktiviert haben, sind keine weiteren Maßnahmen erforderlich. Wenn nicht, müssen Sie manuell aktualisieren. So aktualisieren Sie:

  1. Melden Sie sich beim WP-Admin-Dashboard Ihres Shops an und navigieren Sie zu Plugins.
  2. Suchen Sie WooCommerce in Ihrer Liste der installierten Plugins und Erweiterungen.
  3. Sie sollten eine Warnung sehen, die besagt, dass eine neue Version von WooCommerce verfügbar ist.
  4. Klicken Sie auf den Link "Jetzt aktualisieren", der in dieser Warnung angezeigt wird, um auf Version 8.9.3 zu aktualisieren.

Wenn die Warnung zur neuen Version nicht angezeigt wird, überprüfen Sie Ihre Versionsnummer manuell. Wenn Sie WooCommerce nicht sofort aktualisieren können, deaktivieren Sie die Bestellzuordnung, da die Schwachstelle nur ausgenutzt werden kann, wenn die Bestellzuordnung aktiviert ist.

Was ist die Schwachstelle?

Diese Sicherheitslücke, die über das HackerOne Bug Bounty Program von Automattic gemeldet wurde, könnte Cross-Site-Scripting-Angriffe ermöglichen. Bei solchen Angriffen manipulieren böswillige Akteure einen Link, um bösartigen Code (wie JavaScript) auf einer Seite einzubinden. Dies kann jeden betreffen, der auf den Link klickt, einschließlich Kunden, Händler oder Shop-Administratoren. Wurden die Daten meines Shops kompromittiert? Das Woo-Team hat keine Berichte über Exploits dieser Schwachstelle.

Was kann ich sonst noch tun, um meinen Shop sicher zu halten?

Das Woo-Team ermutigt alle Händler, hohe Sicherheitsstandards einzuhalten, darunter die Verwendung sicherer Passwörter, die Aktivierung der Zwei-Faktor-Authentifizierung, die sorgfältige Überwachung von Transaktionen und die Verwendung der neuesten sicheren Versionen von WooCommerce und anderen Plugins. Weitere Informationen finden Sie in den bewährten Methoden für die Sicherheit.

Ist mein Shop betroffen, wenn ich eine ältere Version als 8.8.0 verwende?

Die Schwachstelle betrifft jede Website, auf der die folgenden Versionen von WooCommerce ausgeführt werden, wenn die Bestellzuordnung aktiviert ist (sie ist standardmäßig aktiviert):

  • 8.8.0
  • 8.8.1
  • 8.8.2
  •  8.8.3
  • 8.8.4
  • 8.9.0
  • 8.9.1
  • 8.9.2

Wenn Sie eine frühere, stabile, aktualisierte Version von WooCommerce verwenden, ist Ihr Shop nicht betroffen.

Woher weiß ich, ob mein Geschäft sicher ist?

Ihr Shop ist sicher, wenn Sie die neueste gepatchte Version von WooCommerce (Version 8.9.3 sowie die rückportierte Version 8.8.5) verwenden. Das Developer Advisory des Woo-Teams enthält Anweisungen zur Überprüfung des WooCommerce-Versionsstatus Ihres Shops und enthält weitere Details zum Update. Sie empfehlen, automatische Updates zu aktivieren, um Ihre Plug-in-Versionen auf dem neuesten Stand zu halten und sicherzustellen, dass Sie alle zukünftigen Sicherheitsupdates automatisch erhalten.

Das Woo-Team bemüht sich um eine transparente und zeitnahe Kommunikation mit der Community. Wenn Sie Fragen zu diesem Thema haben, wenden Sie sich bitte an das Happiness-Team.

 

Quellennachweis:
[1] https://woocommerce.com/posts/woocommerce-update-xss-vulnerability/