Pericolosa vulnerabilità rilevata nella serata di ieri su WooCommerce, l’aggiornamento ora è più importante che mai.
Il team di WooCommerce ha rilasciato un aggiornamento per risolvere una falla di sicurezza molto pericolosa, attraverso la quale i malintenzionati possono inserire contenuti malevoli nel browser.
Le versioni di WooCommerce che presentano questa vulnerabilità sono dalla 8.8.0 fino alla 8.9.2, perciò aggiorna subito il plugin alla versione 8.9.3 per risolvere il problema.
I siti a rischio sono inoltre quelli che, oltre a una delle versioni compromesse, utilizzano anche la funzione Attribuzione degli ordini, un’impostazione di default in tutte le installazioni di WooCommerce. Ecco come devi fare per rendere sicuro il tuo sito e-commerce.
Come aggiornare WooCommerce alla versione più sicura
Accedi alla tua Bacheca WordPress. Potresti vedere un avviso che ti informa della presenza di un importante aggiornamento di sicurezza di WooCommerce. Anche se non lo vedi, vai alla sezione Plugin di WordPress e cerca WooCommerce nell’elenco. Dovresti vedere la versione 8.9.3 disponibile. Clicca su Aggiorna ora.
Se la versione disponibile per l’aggiornamento è precedente alla 8.8.0 (ad esempio, è disponibile la 8.5.0), probabilmente è un po’ che non effettui la manutenzione di WordPress. In questo caso, il tuo sito non è a rischio, ma è sempre meglio aggiornare!
Quindi ti consiglio di:
- Aggiornare alla versione che risulta disponibile per te;
- Poi fai un refresh della pagina dei plugin;
- Ora la versione 8.9.3 dovrebbe essere disponibile.
Se hai problemi con l’aggiornamento, allora devi prima disattivare la funzione Attribuzione degli ordini:
- Vai su WooCommerce > Impostazioni;
- Accedi alla tab Avanzate;
- Entra nella sezione Funzionalità;
- Disattiva la casella Attribuzione degli ordini;
- Salva le modifiche.
Ora puoi tornare nella pagina dei plugin e concludere l’aggiornamento.
Qual è il reale rischio?
Agisci il prima possibile poiché questa vulnerabilità di tipo cross-site scripting inserisce dei codici malevoli all’interno dei link presenti sulla pagina, perciò chiunque clicchi sul quel link ne viene colpito, che sia tu o un tuo cliente.
Al momento non sono state ricevute segnalazioni di compromissione di dati o altri sfruttamenti della vulnerabilità. Il problema è stato scoperto grazie alla ricerca proattiva del team di Automattic in collaborazione con HackerOne. A causa di questo problema, l’uscita della versione 9.0 di WooCommerce è stata posticipata al 18 luglio.
Se qualcosa non funziona durante il tuo aggiornamento e hai riscontrato problemi di sicurezza sul tuo sito, contattaci il prima possibile.