WooCommerce logó forrás - WooCommerce
Ha valaha birtokoltál egy e-kereskedelmi webhelyet, akkor szinte száz százalékos a valószínűsége annak, hogy biztosan hallottál már a WooCommerce-ről, az e-kereskedelmi webhelyek népszerű bővítményéről. Az internetes e-kereskedelmi webhelyek több mint 35% -át üzemelteti, és több mint 4 millió telepítéssel a WooCommerce az egyik legmegbízhatóbb plugin azoknak a felhasználóknak, akik saját online áruházra vágynak. Ha Ön WooCommerce plugin-felhasználó, van néhány fontos hír, amelyet nem szabad kihagynia.
A technikák
Simon Scannell, a RIPS Technologies GmbH kutatója, felfedezték biztonsági rés a bővítményben (jóváírja a HackerNews a blogbejegyzés megtalálásához), amely állítólag lehetővé teszi egy rosszindulatú vagy veszélyeztetett privilegizált felhasználó számára, hogy teljes ellenőrzést szerezzen a webhely felett, feltéve, hogy a plugin nem javított verzióját használja. A biztonsági rés leírása Simon blogjában a következőképpen szól:
A WordPress privilégiumainak kezelési hibája privilégium-eszkalációhoz vezethet a WordPress-bővítményekben. Ez hatással van például a WooCommerce, a legnépszerűbb e-kereskedelmi pluginra, több mint 4 millió telepítéssel. A sérülékenység lehetővé teszi üzletvezetők hogy töröljön bizonyos fájlokat a szerverről, majd átvegye minden rendszergazdai fiókot.
Simon emellett technikai részleteket is elárul a blogpostában. Elárulja, hogyan engedélyezi a Wordpress automatikusan a „ edit_users ”Engedély egy rendszergazdai fiók hitelesítő adatainak szerkesztésére is. De az olyan pluginok, mint a WooCommerce, metafunkciókat tartalmaznak, amelyeket funkcióként valósítanak meg, és amelyek visszatérési értéke eldönti, hogy a jelenlegi felhasználó képes-e végrehajtani ezt a műveletet. Ez megakadályozza, hogy az üzletvezetők szerkesszék a rendszergazdai fiókokat.
A hiba
A Wordpress ezen fiókjogosultságok kezelésének fő hátránya, hogy az adott plugin meta képességei csak akkor kerülnek végrehajtásra, ha a plugin aktív. Ha véletlenül letiltja a WooCommerce plugint, akkor az összes felhasználói fiókot a edit_users ”Az engedély képes lesz a rendszergazdai fiókokra is bíbelődni, és így átveszi az egész weboldalt.
Bár csak a rendszergazdák kapcsolhatják ki a beépülő modulokat, a WooCommerce egy tetszőleges fájltörlési biztonsági rése lehetővé teszi az üzletvezetők számára, hogy a szerveren minden fájlt töröljenek, amely írható. Ez a biztonsági rés felhasználható a WooCommerce letiltására, és ezzel megszabadulhat az üzletvezetői fiók összes korlátozásától, mivel A WooCommerce fő fájljának törlésévelwoocommerce.php, A WordPress nem tudja betölteni a bővítményt, majd letiltja ”Ahogy Simon mondja a blogjában.
A megoldás
Bár a sérülékenység meglehetősen kritikus, jó hír, hogy van javítva a 3.4.6 változatban a WooCommerce múlt hónapjában. Ha a WooCommerce webhelyet használja, erősen ajánlott frissíteni a WooCommerce plugint és magát a Wordpress-t is , annak érdekében, hogy megszabaduljon a fent említett sebezhetőségtől.
Címkék Biztonság WordPress
![[FIX] Futásidejű hiba a Malwarebytes telepítésekor (a Proc telepítése nem sikerült)](https://jf-balio.pt/img/how-tos/22/runtime-error-when-installing-malwarebytes.jpg)
![[Javítva] A telepítést nem tudtuk befejezni, mert egy frissítés leállt a Windows 10 rendszeren](https://jf-balio.pt/img/how-tos/16/we-could-not-complete-install-because-an-update-was-shutting-down-windows-10.png)
