WooCommerce Logo Kaynağı - WooCommerce
Daha önce bir e-ticaret web sitesine sahipseniz, e-ticaret web siteleri için popüler eklenti olan WooCommerce'i duymuş olma olasılığınız neredeyse yüzde senttir. İnternetteki e-ticaret web sitelerinin% 35'inden fazlasını ve 4 milyondan fazla kurulumla, WooCommerce, kendilerine ait bir çevrimiçi mağazaya sahip olmak isteyen kullanıcılar için en güvenilir eklentilerden biridir. Bir WooCommerce eklentisi kullanıcısıysanız, kaçırmamanız gereken bazı önemli haberler var.
Teknik Özellikler
RIPS Technologies GmbH'de araştırmacı olan Simon Scannell, keşfetti eklentideki bir güvenlik açığı (kredi HackerNews blog yayınını bulmak için), ki bildirildiğine göre Kötü niyetli veya güvenliği ihlal edilmiş ayrıcalıklı bir kullanıcının, eklentinin yamalanmamış sürümünü kullanmaları koşuluyla, web sitesi üzerinde tam kontrol sahibi olmasına izin verir. Güvenlik açığının Simon’ın blogundaki açıklaması aşağıdaki gibidir:
WordPress'in ayrıcalıkları işleme şeklindeki bir kusur, WordPress eklentilerinde ayrıcalık artışına neden olabilir. Bu, örneğin 4 milyondan fazla kurulumla en popüler e-ticaret eklentisi olan WooCommerce'i etkiler. Güvenlik açığı şunlara izin verir: mağaza müdürleri sunucudaki belirli dosyaları silmek ve ardından herhangi bir yönetici hesabını devralmak için.
Simon, blog yayınında bu istismarla ilgili teknik ayrıntıları da açıklıyor. Wordpress'in ' edit_users 'Bir yönetici hesabının kimlik bilgilerini düzenleme izni. Ancak, WooCommerce gibi eklentiler, işlevler olarak uygulanan ve dönüş değeri mevcut kullanıcının bu eylemi gerçekleştirip gerçekleştiremeyeceğine karar veren meta yetenekleri içerir. Bu, Mağaza Yöneticilerinin yönetici hesaplarını düzenlemesini engeller.
Kusur
Wordpress'in bu hesap ayrıcalıklarını işleme şeklinin ana dezavantajı, söz konusu eklentinin meta yeteneklerinin yalnızca ve ancak eklenti etkin olduğunda yürütülmesidir. Herhangi bir şans eseri, WooCommerce eklentisi devre dışı bırakılırsa, ' edit_users ”İzni, yönetici hesaplarıyla da oynayabilecek ve dolayısıyla tüm web sitesini ele geçirebilecek.
Yalnızca yöneticiler eklentileri devre dışı bırakabilse de, WooCommerce'deki keyfi bir dosya silme güvenlik açığı, mağaza yöneticilerinin sunucudaki yazılabilir herhangi bir dosyayı silmesine izin verir. Bu güvenlik açığı, WooCommerce'in kendisini devre dışı bırakmak ve böylece mağaza yöneticisi hesabındaki tüm kısıtlamalardan kurtulmak için kullanılabilir. WooCommerce ana dosyasını silerek,woocommerce.phpWordPress eklentiyi yükleyemez ve ardından devre dışı bırakır 'Simon'ın blogunda söylediği gibi.
Çözüm
Güvenlik açığı oldukça kritik olsa da, iyi haber şu ki 3.4.6 sürümünde yamalı WooCommerce, geçen ay. Web sitenizde WooCommerce kullanıyorsanız, WooCommerce eklentinizi ve Wordpress'in kendisini güncellemeniz şiddetle tavsiye edilir. , yukarıda bahsedilen güvenlik açığından kurtulmanızı sağlamak için.
Etiketler Güvenlik WordPress
![[DÜZELTME] Final Fantasy XIV'de 90002 Hatası](https://jf-balio.pt/img/how-tos/93/error-90002-final-fantasy-xiv.png)
