مطالب و مقالات آموزش ووکامرس
بروز باگ امنیتی در درگاه های پرداخت ووکامرس و ارائه بروزرسانی 5.0
طی چند ماه گذشته چندین گزارش مبنی بر خرید محصولات موجود در چند فروشگاه (مخصوصا فروشگاه های محصولات مجازی مانند گیفت کارت و ارز های بین المللی) بدون پرداخت وجه ، به ووکامرس گزارش شد. این خطا در برخی درگاه های پرداخت رخ می داد و فراگیر نبود.
آنچه در این مقاله می خوانید:
شرح و چگونگی بروز مشکل:
همه درگاه های پرداخت بانکی ، در صورت پرداخت موفق و انجام Verify و بازگشت به صفحه سایت به خوبی پیغام خرید موفق و نمایش کد رهگیری انجام می شد و تا اینجا شرایط کاملا عادیست.
در ووکامرس ، کدرهگیری و کدتراکنش هر پرداخت درون یادداشت های سفارش ووکامرس ذخیره می شود و این باعث می شود تا این کدها قابل ردگیری نباشد و صرفا ذخیره سازی صورت می گیرد(برای نمایش به مدیر یا خریدار)
مشکل در جایی آغاز می شود که برخی درگاه های پرداختی ، اگر برای هزار بار هم درخواست Verify یک تراکنش ثبت شود ، پاسخ از سمت بانک ارسال می شود و محدود به یک بار نیست ، به این معنی که شما می توانید با یک کدتراکنش اقدام به Verify کردن سایر پرداخت های نامرتبط بدون پرداخت وجه شوید ! از این رو برخی هکر ها با استفاده از کد تراکنش و پرداخت قبلی ، برای محصولات جدید استفاده می کردند (با تغییر در Header صفحه) و محصولی که خرید موفق نداشت را تبدیل به خرید موفق می کردند.
راه حل ووکامرس فارسی:
در ووکامرس فارسی نسخه 3.3.6 و بالاتر ما راهکاری اندیشیدیم که از این پس ، یک کد تراکنش نمی تواند برای دو محصول متفاوت استفاده شود ، تمامی کدهای تراکنش از سمت بانک درون دیتابیس سایت شما ذخیره می شود و به راحتی عمل مقایسه و بررسی صورت می گیرد.
در ادامه ما با بازنویسی کامل افزونه های درگاه پرداخت ، ضمن پوشش این باگ سطح بالا و امنیتی ، اقدام به افزودن چند امکان جدید به منظور راحتی کاربران کردیم (مانند افزودن انتقال مستقیم به صفحه بانکی و نمایش علت خطا در صفحه جزئیات سفارش مدیر)
ما این باگ را در 4 ماه پیش رفع کرده ایم و اطلاع رسانی لازم را به مشتریان داده ایم. هم اکنون برای اطلاع به کاربران و استفاده کنندگان ووکامرس ، این اطلاعیه منتشر شده و پیشنهاد می کنیم از آخرین نسخه درگاه های ارائه شده توسط ووکامرس فارسی استفاده کنند و یا راهکار های امنیتی مناسب را برای وب سایت خود ایجاد کنند.
هشدار مهم:
اگر از نسخه 5.0 و یا بالاتر درگاه های پرداخت ووکامرس فارسی استفاده می کنید (این بروزرسانی نزدیک به سه ماه پیش عرضه شده و به مشتریان اطلاع رسانی شده است) جای نگرانی نیست و سایت شما امن است.
در غیر اینصورت حتما اقدام به بروزرسانی و استفاده از درگاه های پرداخت ووکامرس فارسی کنید
ما به منظور حفظ امنیت و ذخیره سازی شماره تراکنش ها در دیتابیس ، این قابلیت را در ووکامرس فارسی افزوده ایم. به این معنی که پس از بروزرسانی به نسخه جدید ، می بایست افزونه ووکامرس فارسی (Persian WooCommerce) را در سایت نصب کنید.
برخی مارکت ها اقدام به فروش نسخه های قدیمی و توسعه یافته (تغییر در کدهای انتقال به بانک) از درگاه پرداخت رایگان ملت ووکامرس کرده اند. این افزونه ها به هیچ عنوان امن نبوده و مسئولیت آن بر عهده ما نمی باشد.
هم اکنون تمامی درگاه های پرداخت بانکی در مارکت ووکامرس فارسی (درگاه ملت ، ملی ، سامان ، پارسیان ، فناواکارت ، ایران کیش ، پرشین سوییچ و…) به آخرین نسخه بروزرسانی شده اند و کافیست از پنل حساب کاربری خود در فروشگاه ، اقدام به بروزرسانی نمایید. همچنین درگاه واسط Pay.ir نیز توسط خود ووکامرس فارسی به آخرین نسخه ارتقاء یافته است.
با احترام
One thought on “بروز باگ امنیتی در درگاه های پرداخت ووکامرس و ارائه بروزرسانی 5.0”
دست شمادرد نکنه
سلام.خواستم بابت وبسایت خوبتون ازتون
تشکر کنم و امیدوارم باعث ایجاد انگیزه براتون بشه