Seit gestern Abend so 22 Uhr wird die WooCommerce Community durchgerüttelt, denn alle Shop Betreiber haben eine eMail bekommen, dass WooCommerce ein Problem hat.

Critical vulnerability in WooCommerce

War der Titel der E-Mail und hat uns informiert, dass eine kritische Sicherheitslücke in WooCommerce entdeckt worden ist.

WooCommerce Sicherheitslücke?

Die Sicherheitslücke betrifft WooCommerce selbst von Version 3.3 bis 5.5 sowie das Plugin WooCommerce Blocks von Version 2.5 bis 5.5.

Da dies als eine kritische Sicherheitslücke eingestuft worden ist, haben die Woocommerce Entwickler ein Notfall Update bei vielen Shops automatisch veranlasst. Ja selbst wenn ihr die automatische Updatefunktion deativiert habt – dieses Update wurde trotzdem automatisch ausgelöst. Und so ein schwerer Eingriff in die Shops von anderen durch das WooCommerce Team zeigt nur, dass diese Sicherheitslücke wohl schlimmer ist als was normalerweise ausreicht um eine Update-Version zu gerechtfertigen.

Was genau die Sicherheitslücke ist oder war wurde noch nicht verraten.

Um was ging es bei der Sicherheitslücke

Wie ich gesagt habe – ich werde diesen Artikel updaten sobald ich mehr weiss. Nun ich weiss nun knapp 8 Stunden später um was es ging.

Und zwar gab es ein Bug in Verbindung von SQL und der Datenbank – ein sogenanntes SQL Injection Problem gab es. Man konnte mit einer manipulierten Eingabe direkt in die Datenbank was reinschreiben – dieser Bug hat der Sicherheitsexperte Thomas DeVoss gefunden und gemeldet. Ich habe von mehreren Seiten erfahren, dass damit zb neue Admins angelegt werden konnten. Also man kann sagen die „Hacker“ hätten ohne Probleme die Kontrolle über euren Online Shop übernehmen können. Ja das nenn ich eine sehr kritische Sicherheitslücke.

Wurden Shops deswegen gehackt?

Ob Online Shops übernommen worden sind, kann ich nicht sagen. Wenn ihr aber einen unbekannten Administrator in eurem WooCoommerce WordPress findet, dann habt ihr ein Problem.

Am einfachsten ihr checkt mal ob ihr einen unbekannten Admin in eurer User/Benutzerliste habt.

Und wenn ihr noch tiefer in die Materie eintauchen wollt, dann müsst ihr in eurem Log File gehen und da nach sich wiederholende Anfragen und zwar zu folgenden URL suchen:

1
/wp-json/wc/store/products/collection-data
1
?rest_route=/wc/store/products/collection-data

Query Strings welche %2525 enthalten, wären dann auch ein Anzeichen, dass euer Shop angegriffen worden ist. Diese Daten habe ich vom WordFence Blog entnommen.

Was muss ich tun?

Nun fragt ihr euch sicher, was muss ich denn jetzt genau tun? Die Antwort darauf ist ganz einfach – checkt mal ob in eurem Shop in den letzten Stunden ein Update durchgeführt worden ist und wenn nicht, dann löst sofort das Update aus. Damit wird die Sicherheitslücke nämlich geschlossen.

Mein Shop tut nicht mehr, was muss ich tun?

Eigentlich sollte das Notfallupdate schmerzfrei und ohne Komplikationen über die Bühne gegangen sein. Sollte aber euer Shop nicht mehr funktionieren, dann spielt ihr entweder euer letztes Backup ein und updatet dann von Hand oder aber ihr versucht einfach mal WooCommerce über FTP zu installieren / Dateien zu überschreiben. Sollte das auch nicht gehen, dann wirklich Backup einspielen.

Kannst du mir helfen?

Ich weiss aus Erfahrung das genau diese Frage gerne gestellt wird und darum, ja ich kann helfen. Wenn ihr wirklich Hilfe braucht, dann meldet euch unter der folgenden eMail Adresse: [email protected] und ich versuche dann eine Lösung für euer Problem zu finden.

Fazit

Also liebe Webshop Betreiber – wenn ihr regelmässig Backups von eurem System macht und das automatische Sicherheitsupdate durchgeführt habt, dann habt ihr das getan was für uns Normalos überhaupt möglich ist. Also könnt ihr jetzt mal durchatmen. Wir werden sicher noch informiert was hier genau schief ging und sonst werde ich diesen Artikel später updaten mit den neuesten News zu diesem Fall.