25 jul 2016
WooCommerce is een webshop plugin die op meer dan 1 miljoen websites staat.
Omdat het hier gaat om webshops, zijn hackers zeer gedreven om lekken te vinden in de plugin.
Een webshop gaat om met GELD en CREDITCARD gegevens.
En dat willen hackers maar al te graag in handen krijgen.
Voordat je verder leest
Update je WooCommerce webshop als je nog op 2.6.1 of lager zit!
Het lek in WooCommerce < 2.6.1
Het is een hele sluwe, de hackers hebben namelijk “ontdekt” dat WooCommerce de captions automatisch invult. Daar maken ze misbruik van door een afbeelding van Javascript te voorzien die dan overgenomen wordt in de caption.
Als die javascript eenmaal uitgevoerd wordt, kunnen de hackers login gegevens en sessie tokens ontvangen waarmee ze administrator worden.
Als ze eenmaal administator-rechten hebben, verbinden ze je checkout pagina aan een eigen productenpagina of ze proberen de creditcard gegevens door te laten sturen.
Als je een webshop bezit
Het is belangrijk dat je serieus met je webshop omgaat, dat je de updates regelmatig doorvoert en dat je beveiliging op orde is. Je hebt met klantgegevens te maken en met hackers net zoals in een reguliere winkel, zorg dus altijd dat “alle deuren beveiligd zijn” en dat je kassa onbereikbaar blijft voor criminelen!
Als je een webwinkel hebt, lijkt mij het verstandig om een professional de website te laten beveiligen. Hebben jullie veel ervaring met beveiligen van webwinkels? Zijn er plugins die je per email je waarschuwen als er iets raars gebeurt op de website. Websites “bewaken” doen je jullie dat ook?
Wij hebben ervaring met het beveiligen en hack-vrij maken van WordPress webshops die met WooCommerce gemaakt zijn.
iThemes Security evenals diverse andere plugins kunnen zorgen voor meldingen, maar dan wordt je al snel overspoeld door notificaties waarbij je toch voldoende kennis en ervaring moet hebben om te zien wat de impact van de notificaties is op de website.
Bestandswijzigingen bijvoorbeeld kunnen door updates komen, of door gebruikersacties. het vereist dus bij elke notificatie inzicht om te weten wat je ermee moet doen.
Zo ook bij gebruikersnotificatie’s daaar zijn veel meldingen van mogelijk maar 90% van de acties is legitiem.
Wij hanteren diverse tools waarmee we op de hoogte gebracht worden van belangrijke wijzigingen. Maar we zijn zeer zorgvuldig met het aan/uit zetten van notificaties om te voorkomen dat er dagelijkse rapporten binnenkomen zonder belangrijke inhoudt.. want ook daar hebben beveiligingsplugins zich goed in bewezen.
Het “notificeren om te laten weten dat de monitoring nog werkt” bijvoorbeeld is echt to-much als je tientallen of honderden websites onderhoud.
@charissa,
ALs je met een FTP programma de wp-config.php open maakt kun je naar de lijn gaan waar debug_mode staat. Die staat standaard op “false”. ALs je die op “true” zet verschijnt er vaak een error in plaats van een wit scherm. Aan de hand van de error kun je het probleem vaak oplossen.
En als je er niet uitkomt kun je even een berichtje sturen naar info (a) wpbeveiligen.nl dan lossen wij het voor je op tegen een redelijk tarief.
ik kan mijn plugin niet updaten dan komt een error op mijn scherm, wat nu?