Una vulnerabilità critica di WooCommerce prontamente affrontata

La scorsa settimana, il team di Woo ha annunciato una vulnerabilità critica nel plugin di eCommerce più popolare per WordPress: WooCommerce. Come descritto nel loro post, gli update di sicurezza sono stati subito lanciati a tutti i branch per tutti gli utenti che non avevano disabilitato gli aggiornamenti. Il tutto è stato fatto in modo veloce ed efficiente. Inoltre, il team di Woo è stato estremamente collaborativo fornendo tutte le informazioni necessarie che ci hanno permesso di aggiungere in modo proattivo regole di sicurezza al nostro WAF (Web Application Firewall) per un ulteriore livello di protezione. Continua a leggere per saperne di più su tutte le azioni intraprese e sui risultati.

Aggiornamenti ramificati lanciati da Woo

A causa della gravità delle vulnerabilità scoperte, il team di WooCommerce ha lavorato 24 ore su 24 per applicare patch a tutti i principali branch di rilascio. Ciò significa che non devi passare da WooCommerce 4 a 5 per proteggerti. Questi aggiornamenti sono stati subito lanciati e, se non esplicitamente disabilitati, molto probabilmente il tuo Woo è già stato patchato. Tuttavia, ti consigliamo vivamente di fare un controllo! Tutte le versioni di WooCommerce precedenti all’ultima patch sono vulnerabili. Puoi controllare la tua versione e confrontarla con la pagina delle versioni di WooCommerce (https://developer.woocommerce.com/releases/). Ad esempio, se hai WooCommerce 5.5.2 dovresti semplicemente aggiornarlo al 5.5.1. Ciò risolverà il problema di sicurezza senza compromettere alcuna funzionalità.

Protezione WAF proattiva impostata da SiteGround

Per quanto riguarda la sicurezza, abbiamo sempre creduto che essere proattivi sia l’approccio migliore. Questa particolare vulnerabilità non ha fatto eccezione. Non appena siamo stati informati dal team di Woo, abbiamo agito immediatamente e abbiamo aggiunto una nuova regola di sicurezza al nostro Web Application Firewall (WAF), un elaborato sistema per la prevenzione degli exploit, in esecuzione su tutti i nostri server. Puoi pensare al firewall come a un insieme di regole che bloccano i tentativi di exploit. Siamo costantemente attenti alle informazioni relative ai problemi di sicurezza e siamo pronti ad agire aggiungendo regole di sicurezza, in modo che il nostro sistema possa bloccare tentativi malevoli. Il WAF non corregge una falla di sicurezza di un particolare sito, che può essere sistemata solo tramite un aggiornamento di sicurezza, ma impedisce agli hacker di sfruttare questa falla per ottenere l’accesso non autorizzato al tuo sito.

Potresti chiederti perché creare una regola WAF quando il team di Woo è stato così veloce per rilasciare una nuova versione di sicurezza. Lo facciamo per garantire che i clienti abbiano più tempo per reagire all’exploit. Infatti, sebbene la maggior parte degli utenti di WooCommerce abbia attivi gli aggiornamenti automatici, alcuni siti non vengono aggiornati per diversi motivi: aggiornamento non riuscito, disattivato o posticipato. Alcuni webmaster preferiscono gestire gli aggiornamenti in autonomia, principalmente perché vogliono essere sicuri che l’aggiornamento non interferisca con nessuna delle funzionalità del loro sito. Dopotutto parliamo di eCommerce che probabilmente fanno affidamento su molti plugin aggiuntivi come quelli per la spedizione, i pagamenti, il tracking e molto altro. Per queste persone le regole WAF forniscono il tempo necessario ad assicurarsi che tutte le loro funzionalità critiche funzionino con la nuova versione di Woo.

Nel complesso, la gestione di questa vulnerabilità di Woo mostra come gli sforzi combinati degli sviluppatori di plugin e del tuo hosting ripaghino. Anche in situazioni di emergenza i tuoi clienti sono al sicuro e gli affari continuano come al solito!