Vulnerabilità 2021 in WooCommerce – Come installare la patch di sicurezza

Chi non ha mai sentito parlare di WooCommerce? Noto quasi come lo stesso WordPress, WooCommerce è sviluppato da Automattic, il team che ha creato tra l’altro anche il portale WordPress.com.
Con più di cinque milioni di installazioni attive, e il 25% del mercato degli e-commerce, WooCommerce è di fatto il più noto plugin di WordPress per gestire un portale di vendita online.

Bug, vulnerabilità e falle di sicurezza

Nonostante la sua fama, come tutti i software, non è esente da bug: errori di programmazione che, se sfruttati da hacker o persone con fini poco nobili, possono portare a interrompere o compromettere la funzionalità del plugin stesso o addirittura dell’intero sito WordPress su cui è installato WooCommerce.
Il lato open-source di questo plugin, e di tutta la piattaforma WordPress in genere, permette ai bug di essere scovati più rapidamente dagli utenti stessi e, se gli sviluppatori sono abbastanza rapidi, di essere corretti (fixati), permettendo ai siti su cui sono installati di tornare sicuri e protetti dalle vulnerabilità esposte dal plugin.

Il 13 luglio 2021 è stata trovata in WooCommerce, dalla lontana versione 3.3 del 2018 alla recente versione 5.5, un’importante vulnerabilità che ha portato il team di sviluppo a rilasciare in tutta fretta delle patch di sicurezza che correggano il problema.
La vulnerabilità ha intaccato anche il plugin WooCommerce Blocks, che si integra a WooCommerce per aggiungere funzionalità permettendo di mostrare i prodotti dell’e-commerce in pagine e articoli; in questo caso le versioni coinvolte dalla falla di sicurezza sono quelle da WooCommerce Blocks 2.5 alla 5.5.

Patch per correggere il problema

A questo link potete trovare tutte le release del plugin WooCommerce, comprese le patch di sicurezza.
È sempre consigliato mantenere tutti i plugin quanto più aggiornati ma spesso, soprattutto per il caso di WooCommerce, questo non è possibile; sebbene la piattaforma sia tra le più complete sul mercato spesso sono necessari ulteriori plugins, che si integrano con WooCommerce, per aggiungerne funzionalità specifiche. Non sempre però tali plugin sono aggiornati con costanza mantenendo la compatibilità con tutte le versioni più recenti di WooCommerce.

Per garantire la sicurezza su tutti i siti che utilizzano il plugin Automattic sono state rilasciata, al link indicato sopra, diverse patch di sicurezza.

Come installare la patch WooCommerce di sicurezza?

Se il vostro sito è hostato su WordPress.com o WordPress VIP il plugin è già aggiornato. Troverete la patch di sicurezza già installata senza bisogno di un vostro intervento.

Qualora il vostro e-commerce sia caricato su un hosting condiviso, VPS o server dedicato, e WooCommerce è già aggiornato all’ultima versione (5.5.0) basterà aggiornare il plugin all’ultima versione (5.5.1).

Se invece il plugin, per le motivazioni di compatibilità indicate sopra, non ha l’ultima versione, sarà necessario portarlo alla versione più aggiornata relativa alla propria major release. Scopri qui sotto come.

Qualche esempio di patch da scaricare

  • Se avete la versione 4.5.1, per correggere il problema dovrete scaricare l’ultima versione (a questo link) che inizia con “4.5”, in questo caso la 4.5.3;
  • Una versione 3.9.3 dovreste portarla alla 3.9.4;
  • Invece con una 4.2.3 avete già l’ultima versione per le release 4.2.x, quindi non dovrete installare niente.

Come aggiornare il plugin su WordPress

Ricordiamo che, se la vostra versione di WordPress è uguale o superiore alla 5.5, per installare la patch vi basterà andare nella pagina dei plugin del vostro backend. Da lì cliccare “Carica plugin” e selezionare il file ZIP scaricato dal sito WooCommerce. Una schermata intermedia vi chiederà di confermare l’aggiornamento del plugin.

Se invece avete una versione precedente alla 5.5 eseguendo le operazioni indicate sopra l’installazione fallirebbe. Per installare la patch sarà necessario disinstallare il plugin WooCommerce alla versione corrente e poi reinstallare la nuova versione caricando lo ZIP come indicato sopra.

È sempre consigliato effettuare un backup del vostro spazio web e del database prima di operazioni delicate come questa.

Cerchi qualcuno che si occupi del tuo sito?

Non sei sviluppatore o sei alla ricerca di qualcuno che si occupi di operazioni come questa?
Scribit lavora con WordPress e WooCommerce da molti anni. Con i nostri contratti di assistenza e manutenzione ci occupiamo di tenere il tuo sito sempre aggiornato, di effettuare backup periodici, darti assistenza su qualsiasi necessità e rispondere anche a esigenze immediate come la vulnerabilità oggetto di questo articolo.

Consulta i nostri servizi oppure contattaci cliccando sul pulsante qui sotto per ogni tipo di domanda.