Als webwinkelier zit je niet te wachten op een hack. Het bezorgt je veel stress en een deuk in het imago van je webshop. Genoeg redenen om er vriendelijk voor te bedanken. Des te verrassender was de uitkomst van een recent onderzoek onder WooCommerce webshops: 1 op de 5 is kwetsbaar door een zeer serieus beveiligingslek. Weten of jij risico loopt? Lees dan even mee.
Onderzoek beveiligingsrisico’s WooCommerce
WooCommerce is een populaire e-commerce oplossing voor kleine tot middelgrote webshops. De ontwikkelaar van de software sloeg afgelopen zomer groot alarm toen duidelijk werd dat er een serieus beveiligingslek was opgedoken. Met alle hens aan dek werd een dag later een update uitgebracht voor alle getroffen versies. Puik werk. Er werd aan WooCommerce gebruikers opgeroepen de update direct te installeren en voorzorgsmaatregelen te nemen. Naar aanleiding van dit beveiligingslek is er onderzoek gedaan.
Data Department onderzocht de mogelijke beveiligingsrisico’s onder ruim 36.000 Nederlandse WooCommerce webshops. De aanleiding was het kritieke beveiligingsprobleem waar ik je net over vertelde. Eén van de vragen was of webshops drie maanden later de veiligheidsupdates hadden uitgevoerd. Bij maar liefst 1 op de 5 webshops in het onderzoek was dat niet het geval. Van de onderzochte webshops gebruikt 20,7% nog steeds een onveilige versie van de WooCommerce software.
Wat is het risico?
Via het beveiligingslek in WooCommerce konden kwaadwillenden toegang krijgen tot gegevens in de database van de webshop. Webshops die de uitgebrachte update niet hebben geïnstalleerd zijn nu nog kwetsbaar en lopen een risico op diefstal van onder andere privacygevoelige klantgegevens.
In het onderzoek van Data Department werd de kwetsbaarheid bij webshops vastgesteld aan de hand van het gebruikte versienummer van WooCommerce. Dit versienummer is bij webshops te vinden in de openbare broncode van de website. Hierdoor is het eenvoudig om kwetsbare webshops te identificeren. Overigens is ook bij webshops met een afgeschermd versienummer te achterhalen of de kwetsbaarheid aanwezig is.
Is mijn webwinkel kwetsbaar?
Het kritieke beveiligingslek werd op 13 juli 2021 ontdekt in alle WooCommerce versies die tot dat moment waren uitgebracht en in de WooCommerce Blocks plugin. Wil je weten of jouw webshop kwetsbaar is? Controleer dan of jouw huidige WooCommerce versienummer tot het kwetsbare rijtje behoort.
Hoe je dat doet?
- Log in in je WordPress dashboard
- Ga in het menu aan de linkerzijde naar Plugins
- Scroll in de lijst met geïnstalleerde plugins naar WooCommerce en/of WooCommerce Blocks
- Vind het huidige versienummer bij de informatie over de plugin(s)
- Controleer of het versienummer gelijk of hoger is aan de lijst met de versies die zijn uitgebracht om het beveiligingslek te dichten.
Help, kwetsbaar! En nu?
Blijkt jouw webshop op een kwetsbaar versienummer te draaien? Allereerst: rustig blijven ademen. Als er een hack is geweest, voorkom je het nu niet meer. En als het nog niet is gebeurd, ben je er op tijd bij. Maar één ding is zeker: het is nu tijd voor actie.
In het blog met de aankondiging van WooCommerce wordt het volgende aangeraden:
- Update (minimaal) je WooCommerce versie naar een gepatchte versie
- Verander de wachtwoorden van (admin) gebruikers
- Wijzig de Payment Gateway en WooCommerce API keys
Je wilt nu ongetwijfeld weten of er een hack is geweest. WooCommerce geeft aan dat het niet met zekerheid vast te stellen is, maar dat er mogelijk aanwijzingen te vinden zijn in de logs van de webserver. Als je er zelf niet bij kunt, kan je hostingpartij vaak helpen om dit na te gaan. In het geval van een hack is er een meldingsplicht bij de Autoriteit Persoonsgegevens.
Wil je het hele onderzoek lezen?
Data Department zet regelmatig haar uitgebreide bedrijfsdatabase en technische kennis in voor onderzoek. Het besproken WooCommerce onderzoek is te vinden op hun website.
Reacties
Dat is wel belachelijk en schokkend hoog, dan heb je de veiligheid van je klantgegevens dus echt niet hoog zitten als je nu nog op zo’n versie zit…
Ik snap dat je niet altijd automatisch wil updaten (je wil toch eerst testen of alles blijft werken) maar dat de veiligheid van je webshop prioriteit 1 is zit er blijkbaar bij veel te veel mensen nog totaal niet in.
De updates bijhouden van wordpress, woocommerce & je plugins en thema’s, en een beveiligingsplugin installeren (Shield Security bijv) en goed instellen (en ook updaten…), tweetrapsverificatie (ook voor je hosting admin natuurlijk, ook voor je betalingsprovider, etc etc) – het lijkt me als webshopeigenaar niet meer dan logisch om dat als basis aan te houden.
Natuurlijk kan er altijd iets misgaan maar een kritieke beveiligingsupdate maanden later niet installeren, dat is toch wel pijnlijk amateuristisch…
Wie zich herkend in het artikel of niet eens weet welke versie ‘ie nu heeft mijn advies waarvan ik vanuit de grond van m’n hart hoop dat je het aanneemt: verdiep je in hoe je je site op orde krijgt qua beveiliging – zo moeilijk is het niet en lukt het je niet vraag er iemand voor. Kost je wat, maar dit is echt de basis…
Schokkend inderdaad, maar helaas waar. Zeker nu we met z’n allen steeds meer online gaan shoppen en de nieuwe shops als paddenstoelen uit de grond schieten, wordt het nodig tijd dat een veilige shop een iets prominentere plek op de prioriteitenlijst krijgt bij sommigen. Hopelijk helpt deze waarschuwing enigszins, hoewel het – precies zoals je aangeeft – jammer is dat het moet.