Otkrivena ranjivost u WooCommerce-u. Odmah ažurirajte na najnoviju verziju
WooCommerce je 10.06. objavio saopštenje u kojem poziva sve vlasnike WooCommerce prodavnica da hitno ažuriraju svoje online prodavnice na najnoviju verziju WooCommerce-a. Razlog leži u otkrivenoj ranjivosti koja potencijalnom napadaču omogućava da izvede takozvani XSS (cross-site scripting) napad.
XSS napad je vrsta bezbednosne ranjivosti koja omogućava napadaču da ubrizga zlonamerni skript (obično JavaScript) u sadržaj koji se prikazuje korisnicima koji posećuju neki web sajt. Ovo može biti urađeno putem linka, tako da klikom na link korisnik izvršava maliciozni kod koji je napadač prethodno ubrizgao na sajt. Ovim može biti pogođen i trgovac, kao i korisnik, pa čak i admin.
Security patch koji je WooCommerce objavio rešava ovu ranjivost automatski, bez potrebe da vi bilo šta radite sa svoje strane. Dovoljno je da samo ažurirate svoju WooCommerce prodavnicu na najnoviju verziju WooCommerce-a.
Ako je vaša verzija WooCommerce-a već ažurirana na verziju 8.9.3 (ili ako su automatska ažuriranja na vašem sajtu omogućena), nije potrebno da preduzimate dalje korake. U suprotnom, potrebno je ručno ažurirati WooCommerce.
Da biste ažurirali WooCommerce pratite sledeće korake:
- Prijavite se na WordPress admin dashboard vaše WooCommerce prodavnice i idite na opciju Plugins.
- Pronađite WooCommerce na listi instaliranih plugina i ekstenzija. Trebalo bi da vidite obaveštenje koje kaže: “There is a new version of WooCommerce available.”
- Kliknite na link Update Now prikazan u ovom obaveštenju da biste ažurirali na verziju 8.9.3.
- Ako ne vidite obaveštenje o novoj verziji, ručno proverite broj vaše verzije. Ako ne možete odmah da ažurirate WooCommerce, trebalo bi da onemogućite opciju Order Attribution. Pomenuta ranjivost može biti zloupotrebljena samo ako je u vašoj WooCommerce prodavnici omogućena opcija Order Attribution.
Napomena: Od verzije WooCommerce 8.5, opcija Order Attribution je omogućena po defaultu.
Kako da onemogućite Order Attribution
Order Attribution je opcija koja vam u WooCommerce-u omogućava da pratite određene marketinške atribute i na taj način dobijete više informacija o tome koliko su efikasne vaše marketinške aktivnosti i kampanje koje sprovodite u svojoj WooCommerce prodavnici.
S obzirom da ova opcija nije neophodna za pravilno funkcionisanje vaše WooCommerce prodavnice, a u ovom slučaju potencijalno može biti predmet napada na vašu online prodavniceu, možda je najbolja opcija da je privremeno isključite. Bar dok ne ažurirate svoju WooCommerce prodavnicu na najnoviju verziju.
Order attribution možete da isključite i kasnije ponovo uključite veoma jednostavno:
Idite na opciju WooCommerce → Settings → Advanced. Sada unutar sekcije Features pronađite check-box pored opcije Enable this feature to track and credit channels and campaigns that contribute to orders on your site i dečekirajte ovu opciju.
Ova ranjivost utiče na sve online prodavnice koje koriste sledeće verzije WooCommerce-a — posebno ako je prodavnica omogućila Order Attribution:
- 8.8.0
- 8.8.1
- 8.8.2
- 8.8.3
- 8.8.4
- 8.9.0
- 8.9.1
- 8.9.2
Ako koristite raniju stabilnu, ažuriranu verziju WooCommerce-a, vaša prodavnica nije pogođena.
Takođe, ako koristite najnoviju, zakrpljenu verziju WooCommerce-a (verziju 8.9.3, kao i retroaktivno primenjenu verziju 8.8.5), vaša prodavnica je bezbedna.
Nenad Mihajlović