par | 15 Juin 2015

Nouvelle vulnérabilité WooCommerce, êtes-vous concerné ?

Une dangereuse vulnérabilité a été découverte ce mercredi 10 juin dans le plugin WooCommerce. Cette faille permet à un utilisateur malveillant d’exploiter la faille pour créer et télécharger des fichiers sur les serveurs vulnérables. Découvrez dans cet article si vous êtes affecté par cette vulnérabilité et comment protéger votre plateforme WooCommerce contre les cyber-attaques.

WooCommerce, une nouvelle vulnérabilité dans un plugin WordPress

#WooCommerce, une nouvelle vulnérabilité dans un plugin #Wordpress Cliquez pour tweeter

Pour rappel WooCommerce est un plugin gratuit qui permet de transformer n’importe quelle installation WordPress en une véritable plateforme eCommerce avec des fonctionnalités avancées (ventes et gestion des produits, système de payement Paypal, statistiques de vente, gestion des stocks…). Le plugin WooCommerce est rapidement devenu populaire puisqu’il est actuellement utilisé sur plus de de 690 000 sites web (WooCommerce Usage Statistics, BuiltWith) pour gérer leur plateforme eCommerce.

Plus de 20% des 50 plugins WordPress les plus populaires sont vulnérables aux hackers

Il ne faut pas oublier que plus un plugin est populaire, plus les hackers passeront du temps à identifier des vulnérabilités potentielles pour toucher le plus de sites web possibles. Selon une étude récente, plus de 20% des 50 plugins WordPress les plus populaires sont vulnérables aux hackers (lire Pourquoi les plateformes de Gestion de Contenu (ou CMS) sont en train de créer d’importantes failles de sécurité sur JDN).

Par sa popularité, le plugin WooCommerce est une cible privilégiée des hackers et la précédente vulnérabilité remonte à moins de 3 mois avec une vulnérabilité par injection SQL sur la version 2.3.5. Ces attaques permettent aux pirates de modifier le contenu de votre plateforme eCommerce, et de voler la base de données clients. Votre responsabilité est engagée et l’impact financier sur votre chiffre d’affaires peut être catastrophique.

1 PME sur 2 touchée par une malveillance informatique disparait dans les 6 mois

Aujourd’hui en France, « 1 PME sur 2 touchée par une malveillance informatique disparait dans les 6 mois » (article Zataz). Nul n’est à l’abri d’une cyber-attaque et les PME  ayant une forte activité eCommerce sont encore plus exposées.

Suis-je affecté par la vulnérabilité WooCommerce ?

Suis-je affecté par la vulnérabilité #WooCommerce ? Cliquez pour tweeter

Les versions WooCommerce concernées sont les versions 2.0.20 jusqu’aux versions 2.3.10. La vulnérabilité a été désignée comme critique par Sucuri avec un score de 8/10. Il ne faut donc pas prendre à la légère cette vulnérabilité.

Le problème apparait uniquement si vous avez activé l’option « Paypal Identity Token ». Cette option peut être configurée depuis votre tableau de bord WordPress, en cliquant sur l’onglet « WooCommerce’s Settings » puis « Checkout ». Il faut ensuite aller dans les options avancées pour accéder au champ « Paypal Identity Token » qui génère la vulnérabilité.

paypal-identity-token

Si vous utilisez le champ « Paypal Identity Token » pour les notifications de vos transactions, ce n’est uniquement votre plateforme eCommerce qui est vulnérable. Votre site entier peut en pâtir, puisque la vulnérabilité permet aux pirates d’accéder à l’ensemble de votre base de données. A noter que la majorité des sites WooCommerce utilise Paypal comme méthode de paiement et sont potentiellement vulnérables.

Comment protéger votre plateforme WooCommerce contre les cyber-attaques ?

Comment protéger votre site #WooCommerce contre les #pirates ? Cliquez pour tweeter

Depuis que cette vulnérabilité a été identifiée, le créateur du plugin WooCommerce a publié un patch dans sa nouvelle version 2.3.11 qui peut être téléchargé directement sur la market place officielle de WordPress, ou qui peut être mis jour via le panneau d’administration des plugins de votre installation WordPress.

WooCommerce2.3.11

Pour une protection avancée ou si tout simplement vous n’arrivez pas à mettre à jour votre plugin WooCommerce, il est préférable d’utiliser une solution de cybersécurité. Cette faille est critique et doit être traitée comme telle. Soyez sûr de prendre toutes les précautions pour protéger votre site web et votre plateforme WooCommerce.

OZON reconnait l’importance du plugin WooCommerce pour les propriétaires de plateformes eCommerce et a développé une solution de cybersécurité adaptée.

OZON comprend l’importance du plugin WooCommerce pour les propriétaires de plateformes eCommerce et a développé une solution de cybersécurité adaptée. En quelques minutes votre plateforme WooCommerce est protégée contre les attaques web et fraudes sophistiquées. La solution de cybersécurité OZON est active 24/7 et offre une panoplie complète d’outils puisqu’elle permet de détecter les vulnérabilités, bloquer les cyberattaques et empêcher les transactions frauduleuses en temps réel.

En quelques minutes votre plateforme WooCommerce est protégée contre les attaques web et fraudes sophistiquées. Le plus de cette solution réside dans le fait qu’elle ne nécessite pas de compétences techniques avancées pour sa mise en place ou son administration. Son déploiement est transparent et ne nécessite aucune installation.

Share This