Beveiliging

SQL injectie ontdenkt in Woocommerce 8.2

, WoltersDesign

Kwetsbaarheid ontdenkt in Woocommerce 8.2 – PatchStack heeft gemeld dat er tijdens het updaten van Woocommerce 8.1 naar 8.2 een kwetsbaarheid is ontdekt. hierdoor was het mogelijk om een SQL Injectie uit te voeren, deze kwetsbaarheid is inmiddels opgelost door Woocommerce te updaten naar een nieuwere versie. alle klanten van woltersdesign zijn onmiddelijk geupdate naar de nieuwste versie.

Wat is een SQL injectie?

Allereerst ga ik je het uitleggen, een SQL Injectie is een cyberaanval waarbij een hacker een codeframent gebruikt wordt om een database te veranderen om zo ongeautoriseerd toegang te verschaffen tot waardevolle gegevens. een hacker kan een stuk code injecteren in een deel van een website om zo vervolgens delen informatie terug te ontvangen.

Hoe voorkom je een SQL injectie?

Door ervoor te zorgen dat WordPress, plugins en thema’s goed bijgewerkt zijn. je kunt er eventueel ook voor kiezen om je website extra te laten beveiligen middels een .HTACCESS bestand. deze zorgt ervoor dat er maar een bepaald aantal IP-adressen worden toegelaten tot delen van je website. wij van woltersdesign kunnen je website extra goed beveiligen.

Hoe kan ik mij beschermen tegen deze kwetsbaarheden?

Het is erg belangrijk om jezelf te beschermen tegen SQL injectie. Een SQL injectie is een van de gevaarlijkste exploits die een hacker kan gebruiken. Er zijn zelfs heel veel automatische tools waardoor de hacker alleen maar hoeft toe te kijken hoe de toegang tot je website of server voor hem geregeld wordt.

We weten dat een SQL injectie werkt omdat data niet goed gecontroleerd en toegepast wordt. Je kunt jezelf dan ook beveiligen door:

  1. Verkeerde input verwijderen. Dit betekend dat je software alle input die betrekking heeft op een SQL commando, string of variabele af moet wijzen alvorens deze doorgezet wordt naar de databaseserver.
  2. Input leesbaar maken. Als de software een backslash (\) voor speciale tekens als de apostrof plaatst dan weet de SQL server dat dit een leesteken is en geen SQL teken. De apostrof zal hierdoor niet meer gezien worden als een scheidende functie maar gewoon als leesteken. In PHP kan dit middels de mysql_real_escape_string().
  3. Database rechten. Door rechten in de database goed te zetten kan voorkomen worden dat data in bepaalde tabellen aangepast word en dat bepaalde tabellen gelezen kunnen worden.
  4. Plaats je website achter een firewall die SQL injectie attacks herkent en blokkeert. (deze hebben klanten van woltersdesign standaard)