Vous êtes utilisateur de l’extension WooCommerce sur WordPress ? Lisez impérativement cet article pour protéger votre site web d’un potentiel piratage informatique.
La base de données nationale sur les vulnérabilités (NVD) du gouvernement américain a récemment publié des avertissements pour les utilisateurs de l’extension WordPress WooCommerce. En effet, des vulnérabilités critiques ont été découvertes dans 5 plugins WooCommerce, ce qui pourrait avoir un impact sur plus de 135 000 installations ! Certaines des failles de sécurité découvertes sont notées 9,8 sur une échelle de 1 à 10 et sont donc classées comme Critique. Nous faisons le point sur les plugins qui ont été identifiés comme dangereux pour la sécurité de votre site WordPress.Ces erreurs peuvent être causées par un problème de comptabilité due à un plugin ou à votre thème WordPress, ou à une erreur dans un fichier important comme le fichier wp-config.php.
Le plugin Advanced Order Export For WooCommerceLa cause la plus fréquente d’un site WordPress qui ne marche plus est un problème au niveau d’un plugin ou du thème. Nous vous recommandons donc de commencer par désactiver tous les plugins installés sur votre site WordPress, depuis le tableau de bord ou, si vous ne pouvez pas y accéder à cause de l’erreur, via votre client FTP. Si le site fonctionne à nouveau, c’est que le problème vient bien d’un plugin. Pour trouver lequel, réactivez un à un tous les plugins jusqu’à ce que votre site se bloque à nouveau. Bien souvent, la mise à jour du plugin qui pose problème suffit pour que votre site web fonctionne à nouveau !
Si la cause n’est pas un plugin, il peut s’agir du thème. Procédez de la même manière : remplacez votre thème par un autre thème et regardez si cela change quelque chose. Si c’est le cas, le problème vient bien du thème : vous devrez donc le mettre à jour pour réparer l’erreur.
Votre site WordPress ne marche plus car il est bloqué en mode maintenance ? Cette erreur est elle aussi simple à résoudre. Vous devez vous connecter à votre client FTP, dans le répertoire racine de votre site et rechercher le fichier .maintenance. S’il y est, supprimer ce fichier suffit à résoudre le problème et à faire fonctionner à nouveau votre site web.
Votre site WordPress ne marche plus à cause d’une erreur lors de la connexion à la base de données ? Toujours via le client FTP, ouvrez le fichier wp-config.php et vérifiez que les infos soient correctes : nom de la base de données, nom d’utilisateur, mot de passe de la base de donnée, hébergeur de la base de données… Si tout est correct, essayez de réinitialiser votre mot de passe cela devrait résoudre le problème.
Si votre site WordPress ne marche pas et qu’aucune de ces solutions ne fonctionne, n’hésitez pas à nous contacter !
Le plugin Advanced Dynamic Pricing pour WooCommerce permet d’implémenter facilement des prix dynamiques sur votre boutique en ligne : remises, règles de tarification, promotions… Il compte plus de 20 000 installations actives. Il présente deux vulnérabilités CSRF, qui affectent les versions 4.1.6 et inférieures. L’explication donnée par la base de données nationale sur les vulnérabilités (NVD) concernant ces vulnérabilités reste vague mais on suppose qu’un attaquant pourrait utiliser ces failles de sécurité pour modifier des règles de tarification ou pour importer des paramètres du plugin.
Votre site web redirige vers des pages malveillantes, comme des sites de rencontre ou des publicités pour de faux produits ?
La page d’accueil a été modifiée ou a été remplacée par une autre page, comme une page à caractère islamique avec message de rançon ?
Un code erreur apparait à la place de votre page d’accueil ?
Les pages de votre site internet sont anormalement lentes ?
Votre site web mine des crypto monnaies à votre insu ?
Ce plugin est très populaire auprès des utilisateurs WooCommerce, avec plus de 10 000 installations. Il permet de créer des coupons intelligents : coupon d’achat gratuit, coupon URL, coupon préprogrammé, bon pour un cadeau gratuit… Il est lui aussi affecté par une vulnérabilité de type CSRF. Les versions 4.5.01 et inférieures sont affectées.
Le plugin WooCommerce Dropshipping by OPMC compte plus de 3 000 installations. Il permet de gérer toutes ses opérations de dropshipping facilement, et il inclut AliExpress et Amazon Affiliate. La faille de sécurité identifiée est une vulnérabilité d’injection SQL non authentifiée, elle est notée 9,8 et qualifiée de critique. Elle concerne les versions 4.4 et inférieures.
Une vulnérabilité d’injection SQL permet à un hacker de manipuler la base de données WordPress du site attaqué. Il peut donc modifier ou effacer la base de données, mais aussi obtenir des autorisations de niveau administrateur et télécharger des données sensibles.
Le plugin Role Based Pricing for WooCommerce présente deux vulnerabilities CSRF. Ce plugin compte plus de 2 000 installations et il permet de définir les prix des produits en fonction des rôles utilisateurs et des clients individuels. Cette vulnérabilité pourrait permettre à un attaquant d’obtenir des niveaux de permission du site WordPress et de télécharger des fichiers en tant qu’utilisateur authentifié (y compris des fichiers PHP). Elle est donc classée 8,8 (High). Si vous utilisez ce plugin, vérifiez que vous avez bien la version 1.6.2, dans laquelle la vulnérabilité a été corrigée.
Il est très important de mettre à jour vos plugins WooCommerce car dès qu’une vulnérabilité est détectée, les développeurs du plugin travaillent à un correctif, qui est appliqué à une nouvelle version. Plus vous mettez à jour vos plugins, plus vous vous protégez contre les vulnérabilités liées à des plugins. Vous ne savez pas comment mettre à jour vos plugins ? Notre équipe de professionnels WordPress peuvent vous aider.
Si vous ne maîtrisez pas WordPress et que vous avez besoin d’aide pour protéger votre site, vos données et celles de vos clients, des piratages, faites appel à nous. Nous vous proposons une assurance d’un an qui inclut les mises à jour de vos plugins et thèmes, et de nombreuses autres actions pour surveiller les vulnérabilités et vous en protéger.
21 mars 2024
Sur notre blog, nous vous expliquons pas à pas comment désactiver certains plugins de votre site web ou comment les mettre à jour pour vous protéger contre les failles de sécurité. Découvrez nos tutoriels et nos guides WordPress pour éviter d’exposer votre site web aux hackers.
L’utilisation de WooCommerce pour le commerce électronique est répandue, mais cela comporte des risques, notamment en matière de sécurité. L’article de SecuriteWP sur les vulnérabilités de WooCommerce met en lumière les dangers potentiels et les mesures à prendre pour sécuriser les sites e-commerce. Les pirates informatiques ciblent fréquemment des plugins populaires pour exploiter les failles de sécurité. D’où l’importance d’une maintenance et d’une mise à jour régulières de votre site, comme détaillé dans le guide Mettre à jour les plugins, qui souligne l’importance cruciale de garder tous les composants de votre site à jour.
En parallèle, la sensibilisation aux différents types de malwares, comme le malware FreeVAR, qui peut rediriger vos visiteurs vers des sites malveillants, est essentielle. De plus, la sécurisation du fichier wp-config.php, un composant vital de WordPress, est un moyen efficace de renforcer la défense de votre site contre les intrusions.
Ces ressources soulignent la nécessité d’une vigilance constante et d’une mise en œuvre proactive des meilleures pratiques de sécurité pour protéger votre site e-commerce WooCommerce contre les menaces en constante évolution.
Nos experts français assurent un support et une prestation de qualité.
SecuritéWP est un service accessible à tous qui vous accompagne dans la réparation de site et le nettoyage de votre site piraté. Notre équipe est composée d’experts français avec une forte expérience dans le web.
Vous n’avez besoin d’aucune connaissance technique : notre équipe se charge de tout ! Nous restons disponibles pour toute question durant le processus de nettoyage de votre site WordPress.