Le 22 Mars 2023, une vulnérabilité critique à été découverte dans le plugin WooCommerce Payments (également connu sous le nom de WooPayments) qui, si elle était exploitée, pourrait permettre un accès administrateur non autorisé aux magasins (e-store / e-commerce) concernés. WooCommerce a immédiatement désactivé les services concernés et atténué le problème pour tous les sites web hébergés sur WordPress.com, Pressable et WPVIP.

La vulnérabilité a été signalée par Michael Mazzolini de GoldNetwork, qui effectuais pour eux des tests d'intrusion via leur programme HackerOne. Dès que la vulnérabilité a été signalée, ils ont lancé une enquête pour déterminer si des données avaient été exposées ou si la vulnérabilité avait été exploitée. Aucune preuve ne démontre actuellement que la vulnérabilité aies été exploitée. Aucune preuve n'indique non plus que la vulnérabilité soit utilisée en dehors du programme de tests de sécurité. Un correctif a été livré et l'équipe des extensions WordPress.org ont collaboré avec WooCommerce afin de mettre à jour automatiquement les extensions sur les sites exécutant WooCommerce Payments 4.8.0 à 5.6.1 vers les versions corrigées. Cette mise à jour est actuellement déployée automatiquement dans autant de magasins que possible.

Étant donné que cette vulnérabilité pouvait également avoir un impact sur WooPay, un nouveau service de paiement en base de test bêta, WooCommerce a temporairement désactivé ce bêta.

Si votre site web est hébergé sur WorddPress.com, votre boutique est en cours de mise à jour ou a déjà été mise à jour pour supprimer la vulnérabilité.

Tous les sites Web avec WooCommerce Payments 4.8.0 et supérieur installés et activés sur leur site, qui ne sont pas hébergés sur WordPress.com et qui n'ont pas été mis à jour vers une version corrigée (voir ci-dessous), sont toujours potentiellement vulnérables à ce problème. Voici comment vous assurer que vous disposez de la dernière version:

1. 1. Depuis votre tableau de bord WP Admin, cliquez sur l'élément de menu Extensions et recherchez WooCommerce Payments (ou WooPayments) dans votre liste d'extensions.
2. 2. Le numéro de version doit être affiché dans la colonne Description à côté du nom de l'extension. Si ce numéro correspond à l'une des versions corrigées répertoriées ci-dessous, aucune autre action n'est nécessaire.
3. 3. Si une nouvelle version est diponible en téléchargement, vous devriez voir un avis vous guidant pour mettre à jour WooCommerce Payments (ou WooPayments) - veuillez continuer et faites-le.

Une fois que vous utilisez une version sécurisée, WooCommerce recomande de rechercher tout utilisateur administrateur ou toute publication inattendue sur votre site. Si vous trouvez des signes d'activité suspecte, WooCommerce vous suggère les étapes suivantes:

1. 1. Mettre à jour les mots de passe de tous les utilisateurs administrateurs de votre site, surtout s'ils réutilisent les mêmes mots de passe sur plusieurs sites web.
2. 2. Rotation de toutes les clés API utilisées sur votre site, y compris les clés API WooCommerce utilisées sur votre site. Voici comment mettre à jour vos clés API WooCommerce. Pour réinitialiser d'autres clés, consulter la documentation de ces extensions ou services spécifiques.

Si vous n'êtes pas trop sûrs de ce que vous devriez faire, ou vous avez peur de faire une manipulation qui pourrait entrainer un dysfonctionnement, n'hésitez pas à nous contacter chez KodexWeb. Nous pouvons nous en charger sans problème.