shop plugin lek
Leestijd:
2 minuten
Leesniveau:
Onbekend
Waardering:

1 miljoen websites in gevaar door WooCommerce

WooCommerce is een webshop plugin die op meer dan 1 miljoen websites staat.
Omdat het hier gaat om webshops zijn hackers zeer gedreven om lekken te vinden in de plugin.

Een webshop gaat om met GELD en CREDITCARD gegevens.
En dat willen hackers maar al te graag in handen krijgen.

Voordat je verder leest

Update je WooCommerce webshop als je nog op 2.6.1 of lager zit!

Het lek in WooCommerce < 2.6.1

Het is een hele sluwe, de hackers hebben namelijk “ontdekt” dat WooCommerce de captions automatisch invult. Daar maken ze misbruik van door een afbeelding van Javascript te voorzien die dan overgenomen wordt in de caption.

Als die javascript eenmaal uitgevoerd wordt kunnen de hackers login gegevens en sessie tokens ontvangen waarmee ze administrator worden.

Als ze eenmaal administator-rechten hebben verbinden ze je checkout pagina aan een eigen productenpagina of ze proberen de creditcard gegevens door te laten sturen.

Als je een webshop bezit

Het is belangrijk dat je serieus met je webshop omgaat, dat je de updates regelmatig doorvoert en dat je beveiliging op orde is. Je hebt met klantgegevens te maken en met hackers net zoals in een reguliere winkel, zorg dus altijd dat “alle deuren beveiligd zijn” en dat je kassa onbereikbaar blijft voor criminelen!

Hoe nuttig was dit artikel?

Vergeet niet te delen

2
Reacties
Reageer of stel een vraag
  1. Avatar
    Mathieu zegt:

    @charissa,
    ALs je met een FTP programma de wp-config.php open maakt kun je naar de lijn gaan waar debug_mode staat. Die staat standaard op “false”. ALs je die op “true” zet verschijnt er vaak een error in plaats van een wit scherm. Aan de hand van de error kun je het probleem vaak oplossen.
    En als je er niet uitkomt kun je even een berichtje sturen naar info (a) wpbeveiligen.nl dan lossen wij het voor je op tegen een redelijk tarief.

    Beantwoorden

Deel je mening of stel een vraag:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *