1 op 5 WooCommerce webshops onveilig

In de webwinkelsoftware van WooCommerce werd in juli dit jaar een kritiek beveiligingslek ontdekt. Enkele maanden later had nog ruim 20 procent van de webshops dit probleem niet opgelost. Onder andere klantgegevens zijn nog niet voldoende beschermd, zo blijkt uit onderzoek van Data Department.

De webwinkelsoftware van WooCommerce is in feite een ecommerce plug-in voor WordPress. Sinds het ontstaan in 2011 is het uitgegroeid tot een populair platform, met vele miljoenen gebruikers wereldwijd.

Beveiligingslek WooCommerce

In juli dit jaar werd een beveiligingslek ontdekt in de software, waardoor hackers toegang hebben tot gegevens in de database van een webwinkel, zoals klantgegevens. Nadat het lek ontdekt werd bracht het bedrijf achter WooCommerce meteen een update uit voor alle getroffen versies van haar software. Webshops werden aangeraden deze update meteen te installeren, maar ook om wachtwoorden te wijzigen en de gebruikte Payment Gateway en WooCommerce API-sleutels te vernieuwen.

‘Ruim 20% van de webshops heeft het beveiligingslek nog niet opgelost.’

Toch blijkt uit onderzoek van Data Department dat recent werd gepubliceerd dat 7.570 Nederlandse webshops het beveiligingslek nog niet hebben opgelost. Dit is goed voor 20.7 procent van de webshops in het onderzoek. Zij gebruiken nog steeds de verouderde, onveilige versie van WooCommerce.

Kwetsbare webshops zijn door hackers eenvoudig te identificeren. In de openbare broncode staat namelijk het versienummer van de WooCommerce software. De webshops die een ouder patchgetal hebben dan de nieuwste versies worden zo herkend door hackers.

92.5% van webshops gebruikt verouderde WooCommerce software

Maar liefst 17 procent van de onderzochte webshops gebruikt een release van WooCommerce die ouders is dan 6 maanden. Iets meer dan de helft hiervan werkt met een release tussen de 6 en 12 maanden oud, de overige webshops op een release die 1 of meer jaar oud is.

6.318 webshops gebruiken een WooCommerce release die ouders is dan 6 maanden.

Ook bleek uit het onderzoek dat zelfs 92.5 procent van de onderzochte webshops geen up-to-date installatie heeft van WooCommerce. Ook al zijn zij niet meer kwetsbaar voor het beveiligingslek uit juli dit jaar, zijn zij toch kwetsbaar voor andere mogelijke beveiligingsrisico’s.

Beveiliging op andere vlakken ook onvoldoende

Een webshop kan het risico op hackeraanvallen ook verminderen door de inlogpagina en gebruikersnamen af te schermen. Het onderzoek toont echter aan dat bij 78 procent van de webshops de inlogpagina via de standaard URL bereikbaar is. Daarnaast zijn inlognamen van gebruikers bij 76 procent van de webwinkels uit een openbare ‘WordPress API endpoint’ te halen.

‘Bij 78% van de webshops is het inlogscherm niet afgeschermd.’

Data Department geeft aan dat de combinatie van deze twee kwetsbaarheden ervoor zorgt dat deze webshops erg gevoelig zijn voor aanvallen. Dit wordt versterkt door het feit dat gebruikers vaak wachtwoorden hergebruiken. Hackers zijn makkelijk in staat wachtwoorden te achterhalen bij datalekken. Wanneer ze dan ook gebruikersnamen kunnen achterhalen is toegang krijgen tot de software voor hen erg makkelijk.