Heute Nacht (Donnerstag, den 15. Juli 2021) haben wir von WooCommerce eine Nachricht erhalten, dass in den WooCommerce-Versionen von 3.3 bis 5.5 sowie im WooCommerce Blocks – Plugin (v. 2.5 bis 5.5) eine kritische Sicherheitslücke besteht.
Alle Seitenbetreiber und Agenturen, die WooCommerce oder das Blocks – Plugin einsetzen, sind angehalten, auf die jeweils neueste Version zu aktualisieren. Bei WooCommerce ist das die Version 5.5.1.
Die WooCommerce – Sicherheitslücke erlaubt es einem, mittels einer SQL-Injection sich selbst ein Admin-Konto zu erstellen und die Passwörter und Benutzernamen von Admin-Accounts auszuspähen. Entsprechend wichtig ist es, diese Lücke ernst zu nehmen und das Update zeitnah einzuspielen. Genauere Details können in diesem Ticket nachverfolgt werden.
Also, bitte bei allen Kundenprojekten die Updates vornehmen und Backups nicht vergessen!
Die richtige Reihenfolge bei WooCommerce-Updates
Weitgehend bekannt ist, dass man sich vor jedem WooCommerce-Update erstmal ein Backup anlegt. Das kann man beispielsweise mit WP Staging sehr einfach erledigen. Wie aber verfahren wir mit den anderen Updates für Plugins und Themes? Die ideale Reihenfolge sieht so aus:
- Zunächst ein vollständiges Backup erstellen
- Danach werden alle Plugins ausser WooCommerce aktualisiert
- Erst jetzt folgt das WooCommerce-Update
- Ggf. wird bei Bedarf das Theme aktualisiert
- Falls vorhanden kommt das Wichtigste zuletzt: das WordPress-Update
- Anschliessend die Checkliste für Tests durchgehen, also bspw. den Checkout und E-Mail-Versand testen, sowie verschiedene Produktkategorien und Produktseiten überprüfen
- In diesem Fall: Das System auf etwaige verdächtige Neuanmeldungen und neue Admin-Accounts hin überprüfen.
Was tun bei älteren WooCommerce-Versionen?
Auch für die älteren WooCommerce-Versionen gibt es die notwendigen Sicherheits-Patches. Wer also z. B. noch auf WooCommerce – Version 4.6.2. unterwegs ist, kann auf 4.6.3. aktualisieren, ohne dass gleich die allerneueste 5.5.1 – Version eingespielt werden muss.
Viel Erfolg!
4 Antworten
Es wäre halt cool, wenn es ein Beitrags-Datum gäbe, statt “Heute Nacht …”
Da ja manche Dr. Web Beiträge immer wieder neu erscheinen, sieht man das echte Datum nur anhand der Kommentare. Ich lese per RSS mit und es erscheinen darin “neue” Beiträge, die Jahre alt sind. Also bitte stellt das Datum dazu.
Ansonsten: Super, danke!
Stimmt natürlich, habe ich gerade noch hinzugefügt!
Version 3.3 bis 3.5? Meint ihr nicht Version 3.3. bis 5.5.?
Danke für den Hinweis, sollte natürlich 5.5. sein. 🙂