Gli esperti della Link Building

Su Seowebsite ricevi sempre i migliori link al miglior prezzo

Vulnerabilità del plugin WooCommerce Payments di WordPress

Vulnerabilità del plugin WooCommerce Payments di WordPress

Automattic, editori del plug-in WooCommerce, ha annunciato la scoperta e la patch di una vulnerabilità critica nel plug-in WooCommerce Payments.

La vulnerabilità consente a un utente malintenzionato di ottenere credenziali a livello di amministratore ed eseguire un'acquisizione completa del sito.

L'amministratore è il ruolo utente con autorizzazione più elevata in WordPress, che garantisce l'accesso completo a un sito WordPress con la possibilità di creare più account a livello di amministratore e la possibilità di eliminare l'intero sito web.

Ciò che rende questa particolare vulnerabilità di grande preoccupazione è che è disponibile per gli aggressori non autenticati, il che significa che non devono prima acquisire un'altra autorizzazione per manipolare il sito e ottenere un ruolo utente a livello di amministratore.

Il produttore di plugin di sicurezza di WordPress, Wordfence, ha descritto questa vulnerabilità:

"Dopo aver esaminato l'aggiornamento, abbiamo stabilito che ha rimosso il codice vulnerabile che potrebbe consentire a un utente malintenzionato non autenticato di impersonare un amministratore e assumere completamente il controllo di un sito Web senza alcuna interazione dell'utente o ingegneria sociale richiesta".

La piattaforma di sicurezza del sito Web Sucuri ha pubblicato un avviso sulla vulnerabilità che entra in ulteriori dettagli.

Sucuri spiega che la vulnerabilità sembra essere nel seguente file:

/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php

Hanno anche spiegato che la "correzione" implementata da Automattic consiste nel rimuovere il file.

Sucuri osserva:

"Secondo la cronologia delle modifiche del plug-in, sembra che il file e la sua funzionalità siano stati semplicemente rimossi del tutto..."

Il sito Web di WooCommerce ha pubblicato un avviso che spiega perché hanno scelto di rimuovere completamente il file interessato:

"Poiché questa vulnerabilità aveva anche il potenziale per avere un impatto su WooPay, un nuovo servizio di verifica dei pagamenti in beta test, abbiamo temporaneamente disabilitato il programma beta."

La vulnerabilità del plug-in di pagamento WooCommerce è stata scoperta il 22 marzo 2023 da un ricercatore di sicurezza di terze parti che ha informato Automattic.

Automattic ha rapidamente rilasciato una patch.

I dettagli della vulnerabilità verranno rilasciati il ​​6 aprile 2023.

Ciò significa che qualsiasi sito che non ha aggiornato questo plugin diventerà vulnerabile.

Quale versione del plug-in WooCommerce Payments è vulnerabile

WooCommerce ha aggiornato il plugin alla versione 5.6.2. Questa è considerata la versione più aggiornata e non vulnerabile del sito web.

Automattic ha inviato un aggiornamento forzato, tuttavia è possibile che alcuni siti non lo abbiano ricevuto.

Si consiglia a tutti gli utenti del plug-in interessato di verificare che le loro installazioni siano aggiornate alla versione WooCommerce Payments Plugin 5.6.2

Una volta che la vulnerabilità è stata corretta, WooCommerce consiglia di intraprendere le seguenti azioni:

“Una volta eseguita una versione sicura, ti consigliamo di verificare la presenza di eventuali utenti amministratori o post imprevisti sul tuo sito. Se trovi prove di attività impreviste, ti suggeriamo di:

Aggiornare le password per tutti gli utenti amministratori del tuo sito, soprattutto se riutilizzano le stesse password su più siti web.

Rotazione di qualsiasi chiave API di Payment Gateway e WooCommerce utilizzata sul tuo sito. Ecco come aggiornare le tue chiavi API WooCommerce. Per reimpostare altre chiavi, consultare la documentazione per quei plug-in o servizi specifici.

Leggi la spiegazione della vulnerabilità di WooCommerce:

Vulnerabilità critica corretta nei pagamenti WooCommerce: cosa devi sapere

Ciò che conta nella SEO mentre l'intelligenza artificiale accelera il cambiamento rapido
Come potenziare le classifiche delle pagine dei prodotti chiave con la creazione di link
3 passaggi per costruire una strategia di ricerca olistica vincente
12 Panoramica AI da SGE
Storie di YouTube da interrompere
Come consultare per l'equità e farsi pagare quanto vali
Direttore esecutivo di WordPress su 20 anni di innovazione
All'interno della piattaforma di social media decentralizzata
Come utilizzare l'esportazione di dati in blocco di Search Console

Link Building

Link Building come parte della tua strategia di marketing può portare a risultati rivoluzionari. Seowebsite è specializzato nel Link Building e aiuta gli imprenditori a realizzare un forte profilo di link che contribuisce alla crescita online. Possiamo supportarvi anche in questo?