Commandes de spam et comptes de bots

Les versions de WooCommerce antérieures à 4.6.2 contiennent une vulnérabilité qui permet aux utilisateurs invités de créer des comptes lors du paiement même lorsque le paramètre « Autoriser les clients à créer un compte lors du paiement » est désactivé. Cette vulnérabilité est exploitée par un robot pour passer des commandes de spam et créer des comptes utilisateurs qui sont ensuite utilisés pour rechercher des vulnérabilités dans d’autres plugins sur le site.

Les détails

Il y a eu une récente attaque de bot affectant les magasins WooCommerce dans laquelle un bot créait des commandes de spam et des comptes d’utilisateurs dans le but d’obtenir un accès au système et de sonder l’existence de vulnérabilités dans d’autres plugins sur le site qui nécessitent un utilisateur authentifié. Par exemple, l’une de ces vulnérabilités présentes dans certains plugins tiers permet à l’attaquant de modifier la valeur de l’option siteurl en effectuant la requête suivante:

/wp-admin/admin-ajax.php ?action=set_db_option&option_name=siteurl&option_value=SOME_URL.

Vous pouvez en savoir plus sur le fonctionnement de cette récente attaque ici.

En réponse à cet incident, nos équipes internes en ont profité pour évaluer la manière dont nous gérons la création et la gestion des comptes quels que soient les paramètres du site. Au cours de notre enquête, nous avons appris que cette vulnérabilité affecte également le bloc de paiement dans les blocs WooCommerce.

En réponse à cet incident, nous avons publié WooCommerce 4.6.2 et Blocs WooCommerce 3.7.1

Comment puis-je savoir si mon magasin est affecté par cette vulnérabilité ou a été attaqué ?

Les magasins exécutant des versions de WooCommerce antérieures à 4.6 De même, les magasins qui exécutent la version 3.7.0 du plugin de fonctionnalité WooCommerce Blocks sont également vulnérables. Cependant, cela ne s’applique qu’à la version du plugin de fonctionnalités de WooCommerce Blocks, car le bloc de paiement n’est pas fonctionnel dans la version actuellement fournie avec le noyau de WooCommerce.

À notre connaissance, la seule preuve de l’attaque est la création de commandes et de comptes de spam. Les ordres générés par cette attaque particulière suivent un modèle similaire au suivant:

Informations de commande:

bbbbb bbbbb

bbbbb

74 chemin xxxxxxx

xxxxxxx

EX14 5HN

Royaume-Uni (UK)

xxx xxxx xxxx

com

À elle seule, la création des commandes et des utilisateurs n’est pas intrinsèquement problématique. Des conséquences plus graves dépendraient de l’existence d’autres vulnérabilités sur le site que le bot pourrait exploiter.

Quelles étapes dois-je suivre si je suis concerné ?

Pour protéger votre boutique contre la création de compte inattendue, il est recommandé de mettre à jour vers la dernière version de WooCommerce (actuellement la version 4.6.2).

Nous vous recommandons également de supprimer tous les comptes involontaires qui peuvent avoir été créés par ce bot. Pour supprimer les comptes d’utilisateurs indésirables, vous pouvez suivre les instructions de cet article.

Pour obtenir des conseils sur la suppression groupée des commandes de spam

Conseil du développeur

Par mesure de précaution supplémentaire, vous pouvez également trouver utile d’utiliser une forme de prévention du spam sur votre site pour la création de commandes non désirées. Il existe un certain nombre d’extensions qui implémentent cette protection de différentes manières. Vous pouvez effectuer une recherche sur le marché WooCommerce pour avoir une idée de ce qui est à votre disposition. Lorsque vous évaluez vos options, gardez à l’esprit que toutes les mesures que vous mettez en place pour rendre plus difficile pour les robots de passer des commandes peuvent également affecter les vrais clients, ce qui pourrait finalement réduire le taux de conversion d’un magasin.

Au fur et à mesure que nous en apprendrons davantage sur cette vulnérabilité et les effets associés, nous ne manquerons pas de vous tenir au courant. Si vous avez des questions ou des informations supplémentaires, n’hésitez pas à les partager avec nous dans les commentaires ci-dessous ou dans le canal #developers de la communauté WooCommerce Slack.

Comme ça:

J’aime chargement …