20% Nederlandse WooCommerce webshops heeft kritiek beveiligingslek uit juli 2021 niet opgelost
Onderzoek WooCommerce webshops na kritiek beveiligingslek, oktober 2021
Data Department deed in oktober 2021 onafhankelijk onderzoek onder ruim 36.000 webshops naar aanleiding van een kritiek beveiligingslek dat in juli van dit jaar werd gevonden in e-commerce platform WooCommerce. Uit dit onderzoek blijkt dat ruim 20% van deze webshops dit probleem 3 maanden later niet heeft opgelost.
Aanleiding: kritiek beveiligingslek in WooCommerce
WooCommerce is het e-commerce platform voor WordPress dat wereldwijd is geïnstalleerd op meer dan 5 miljoen websites. Op 13 juli 2021 werd een kritiek beveiligingslek ontdekt in de systemen van WooCommerce. Door deze kwetsbaarheid kunnen hackers toegang krijgen tot willekeurige gegevens in de database van een online winkel. Dit maakt bijvoorbeeld klantgegevens kwetsbaar voor kwaadwillenden.
Alle versienummers van WooCommerce en de WooCommerce Blocks plugin uitgebracht tot deze datum zijn kwetsbaar voor het lek. Automattic, het bedrijf achter WooCommerce, bracht direct na het ontdekken van het lek een belangrijke update uit voor alle getroffen versies. Het beveiligingslek is dusdanig serieus dat werd opgeroepen direct de patch te installeren, maar daarnaast ook wachtwoorden te wijzigen en alle gebruikte Payment Gateway en WooCommerce API-sleutels te roteren.
WooCommerce is een veelgebruikt e-commerce platform voor WordPress en is wereldwijd geïnstalleerd op meer dan 5 miljoen websites. De WooCommerce Blocks plug-in is wereldwijd geïnstalleerd op meer dan 200.000 websites.
Scope van het onderzoek
Voor dit onderzoek werden 36.493 economisch actieve Nederlandse webshops onderzocht, die gebruik maken van WooCommerce en te koppelen zijn aan een bedrijf met een actieve inschrijving in het handelsregister van de Kamer van Koophandel.
Het onderzoek is beperkt tot webshops waarbij het gebruikte versienummer van WooCommerce in de (openbare) broncode zichtbaar is via de meta generator tag. Webshops met een verborgen versienummer en aanwezigheid van de WooCommerce Blocks plugin zijn niet meegenomen. Het werkelijk aantal kwetsbare shops ligt zodoende naar verwachting hoger.
Het onderzoek vond plaats in de derde week van oktober 2021 met als doel een beeld te vormen bij de stand van zaken rondom beveiliging van WooCommerce webshops, enkele maanden na de ontdekking van een kritiek beveiligingslek.
Ruim 20% WooCommerce webshops kwetsbaar door kritiek beveiligingslek
Bij 7.570 Nederlandse webshops bleek een kritiek beveiligingslek uit juli 2021 niet opgelost. Deze webshops gebruiken nog steeds een onveilige versie van WooCommerce. Om het beveiligingslek te repareren werd voor elke minor versie van WooCommerce een patch uitgebracht. 20,7% van de webshops heeft de patch niet geïnstalleerd.
Bij deze webshops is het patchgetal van de gebruikte versie van WooCommerce lager dan de patch die het lek repareert. Aan de hand hiervan is vastgesteld welke webshops nog steeds kwetsbaar zijn voor dit beveiligingslek.
Versienummering WooCommerce (SemVer)
Een versienummer bestaat uit 3 getallen, bijvoorbeeld 7.5.4. Het eerste getal staat voor een grote update (major change), het tweede getal is een kleine update (minor change) en het laatste getal betreft een reparatie (patch) – een soort pleister.
Kwetsbare webshops zijn eenvoudig te identificeren. Dit vergroot het risico op hacks. Ook het risico op een datalek is hiermee aannemelijk, waarvoor een meldingsplicht bij de Autoriteit Persoonsgegevens (AP) geldt.
In alle WooCommerce versies vanaf 14 juli 2021 is het beveiligingslek gedicht, op moment van publicatie van dit onderzoek is versie 5.9.0 de meest recente release.
Versie 5.6 meest gebruikt door WooCommerce webshops
Door de webshops in het onderzoek worden uiteenlopende versies van het e-commerce platform WooCommerce gebruikt. Met 39,7% is versie 5.6 de meest gebruikte versie van WooCommerce (14.496 installaties), gevolgd door versie 5.5 met 5.049 installaties.
Ruim 92% WooCommerce webshops heeft laatste patch niet geïnstalleerd
92,5% van de onderzochte webshops heeft geen up-to-date WooCommerce installatie, wat inhoudt dat niet de laatste patch van de gebruikte versie is geïnstalleerd. Veel van deze webshops zijn niet meer kwetsbaar voor het beveiligingslek uit juli 2021, maar gebruiken desondanks niet de meest recente update voor hun WooCommerce installatie. Dit stelt deze webshops mogelijk bloot aan andere (beveiligings)risico’s.
Bij 21% van de webshops is de onderliggende WordPress installatie niet bijgewerkt met de laatste patch. Het duidelijke verschil tussen WordPress en WooCommerce maakt het aannemelijk dat automatische updates van WordPress ervoor zorgen dat installaties vaker up-to-date zijn met de laatste patch.
Opvallend is dat 17% van de onderzochte webshops (6.318 installaties) een WooCommerce release ouder dan 6 maanden heeft geïnstalleerd. Bij iets meer dan de helft van deze webshops is de release tussen de 6 en 12 maanden oud, de overige webshops werken op een release die 1 of meer jaar oud is.
Bijna 80% WooCommerce webshops schermt inlogscherm en inlognamen niet goed af
Om de beveiliging van webshops te verhogen en hacks te voorkomen, wordt door specialisten aangeraden de toegang tot e-commerce platforms goed te beschermen. Het risico op brute-force attacks wordt minder als de inlogpagina voor beheerders en gebruikersnamen zijn afgeschermd. Bij zo’n aanval proberen aanvallers via trial-and-error wachtwoorden te vinden.
Het onderzoek toont dat bij 78% van de webshops (28.493) de inlogpagina via de standaard URL bereikbaar is. Bij 76% van de online winkels (27.756) zijn inlognamen van gebruikers uit een openbare WordPress API endpoint te halen.
De combinatie van deze twee kwetsbaarheden maken deze webshops gevoelig voor aanvallen. Zeker aangezien veel gebruikers wachtwoorden hergebruiken en deze wachtwoorden worden buitgemaakt in veelvoorkomende datalekken.
Noot voor de redactie
Bij gebruik van dit onderzoek graag bronvermelding middels een link naar deze pagina en/of onze homepage.
Vragen? Neem contact op met Wendy Soeters via +31 (0)85 303 34 24 of marketing@datadepartment.io.
Credits afbeelding: Kari Shea (Unsplash)