Als webwinkelier zit je niet te wachten op een hack. Het bezorgt je veel stress en een deuk in het imago van je webshop. Genoeg redenen om er vriendelijk voor te bedanken. Des te verrassender was de uitkomst van een recent onderzoek onder WooCommerce webshops: 1 op de 5 is kwetsbaar door een zeer serieus beveiligingslek. Weten of jij risico loopt? Lees dan even mee.
Onderzoek beveiligingsrisico’s WooCommerce
WooCommerce is een populaire e-commerce oplossing voor kleine tot middelgrote webshops. De ontwikkelaar van de software sloeg afgelopen zomer groot alarm toen duidelijk werd dat er een serieus beveiligingslek was opgedoken. Met alle hens aan dek werd een dag later een update uitgebracht voor alle getroffen versies. Puik werk. Er werd aan WooCommerce gebruikers opgeroepen de update direct te installeren en voorzorgsmaatregelen te nemen. Naar aanleiding van dit beveiligingslek is er onderzoek gedaan.
Data Department onderzocht de mogelijke beveiligingsrisico’s onder ruim 36.000 Nederlandse WooCommerce webshops. De aanleiding was het kritieke beveiligingsprobleem waar ik je net over vertelde. Eén van de vragen was of webshops drie maanden later de veiligheidsupdates hadden uitgevoerd. Bij maar liefst 1 op de 5 webshops in het onderzoek was dat niet het geval. Van de onderzochte webshops gebruikt 20,7% nog steeds een onveilige versie van de WooCommerce software.
Wat is het risico?
Via het beveiligingslek in WooCommerce konden kwaadwillenden toegang krijgen tot gegevens in de database van de webshop. Webshops die de uitgebrachte update niet hebben geïnstalleerd zijn nu nog kwetsbaar en lopen een risico op diefstal van onder andere privacygevoelige klantgegevens.
In het onderzoek van Data Department werd de kwetsbaarheid bij webshops vastgesteld aan de hand van het gebruikte versienummer van WooCommerce. Dit versienummer is bij webshops te vinden in de openbare broncode van de website. Hierdoor is het eenvoudig om kwetsbare webshops te identificeren. Overigens is ook bij webshops met een afgeschermd versienummer te achterhalen of de kwetsbaarheid aanwezig is.
Is mijn webwinkel kwetsbaar?
Het kritieke beveiligingslek werd op 13 juli 2021 ontdekt in alle WooCommerce versies die tot dat moment waren uitgebracht en in de WooCommerce Blocks plugin. Wil je weten of jouw webshop kwetsbaar is? Controleer dan of jouw huidige WooCommerce versienummer tot het kwetsbare rijtje behoort.
Hoe je dat doet?
- Log in in je WordPress dashboard
- Ga in het menu aan de linkerzijde naar Plugins
- Scroll in de lijst met geïnstalleerde plugins naar WooCommerce en/of WooCommerce Blocks
- Vind het huidige versienummer bij de informatie over de plugin(s)
- Controleer of het versienummer gelijk of hoger is aan de lijst met de versies die zijn uitgebracht om het beveiligingslek te dichten.
Help, kwetsbaar! En nu?
Blijkt jouw webshop op een kwetsbaar versienummer te draaien? Allereerst: rustig blijven ademen. Als er een hack is geweest, voorkom je het nu niet meer. En als het nog niet is gebeurd, ben je er op tijd bij. Maar één ding is zeker: het is nu tijd voor actie.
In het blog met de aankondiging van WooCommerce wordt het volgende aangeraden:
- Update (minimaal) je WooCommerce versie naar een gepatchte versie
- Verander de wachtwoorden van (admin) gebruikers
- Wijzig de Payment Gateway en WooCommerce API keys
Je wilt nu ongetwijfeld weten of er een hack is geweest. WooCommerce geeft aan dat het niet met zekerheid vast te stellen is, maar dat er mogelijk aanwijzingen te vinden zijn in de logs van de webserver. Als je er zelf niet bij kunt, kan je hostingpartij vaak helpen om dit na te gaan. In het geval van een hack is er een meldingsplicht bij de Autoriteit Persoonsgegevens.
Wil je het hele onderzoek lezen?
Data Department zet regelmatig haar uitgebreide bedrijfsdatabase en technische kennis in voor onderzoek. Het besproken WooCommerce onderzoek is te vinden op hun website.