طی چند ماه گذشته چندین گزارش مبنی بر خرید محصولات موجود در چند فروشگاه (مخصوصا فروشگاه های محصولات مجازی مانند گیفت کارت و ارز های بین المللی) بدون پرداخت وجه ، به ووکامرس گزارش شد. این خطا در برخی درگاه های پرداخت رخ می داد و فراگیر نبود.

 

شرح و چگونگی بروز مشکل:

همه درگاه های پرداخت بانکی ، در صورت پرداخت موفق و انجام Verify و بازگشت به صفحه سایت به خوبی پیغام خرید موفق و نمایش کد رهگیری انجام می شد و تا اینجا شرایط کاملا عادیست.

در ووکامرس ، کدرهگیری و کدتراکنش هر پرداخت درون یادداشت های سفارش ووکامرس ذخیره می شود و این باعث می شود تا این کدها قابل ردگیری نباشد و صرفا ذخیره سازی صورت می گیرد(برای نمایش به مدیر یا خریدار)

مشکل در جایی آغاز می شود که برخی درگاه های پرداختی ، اگر برای هزار بار هم درخواست Verify یک تراکنش ثبت شود ، پاسخ از سمت بانک ارسال می شود و محدود به یک بار نیست ، به این معنی که شما می توانید با یک کدتراکنش اقدام به Verify کردن سایر پرداخت های نامرتبط بدون پرداخت وجه شوید ! از این رو برخی هکر ها با استفاده از کد تراکنش و پرداخت قبلی ، برای محصولات جدید استفاده می کردند (با تغییر در Header صفحه) و محصولی که خرید موفق نداشت را تبدیل به خرید موفق می کردند.

 

راه حل ووکامرس فارسی:

در ووکامرس فارسی نسخه 3.3.6 و بالاتر ما راهکاری اندیشیدیم که از این پس ، یک کد تراکنش نمی تواند برای دو محصول متفاوت استفاده شود ، تمامی کدهای تراکنش از سمت بانک درون دیتابیس سایت شما ذخیره می شود و به راحتی عمل مقایسه و بررسی صورت می گیرد.

در ادامه ما با بازنویسی کامل افزونه های درگاه پرداخت ، ضمن پوشش این باگ سطح بالا و امنیتی ، اقدام به افزودن چند امکان جدید به منظور راحتی کاربران کردیم (مانند افزودن انتقال مستقیم به صفحه بانکی و نمایش علت خطا در صفحه جزئیات سفارش مدیر)

ما این باگ را در 4 ماه پیش رفع کرده ایم و اطلاع رسانی لازم را به مشتریان داده ایم. هم اکنون برای اطلاع به کاربران و استفاده کنندگان ووکامرس ، این اطلاعیه منتشر شده و پیشنهاد می کنیم از آخرین نسخه درگاه های ارائه شده توسط ووکامرس فارسی استفاده کنند و یا راهکار های امنیتی مناسب را برای وب سایت خود ایجاد کنند.

 

هشدار مهم:

اگر از نسخه 5.0 و یا بالاتر درگاه های پرداخت ووکامرس فارسی استفاده می کنید (این بروزرسانی نزدیک به سه ماه پیش عرضه شده و به مشتریان اطلاع رسانی شده است) جای نگرانی نیست و سایت شما امن است.

در غیر اینصورت حتما اقدام به بروزرسانی و استفاده از درگاه های پرداخت ووکامرس فارسی کنید

ما به منظور حفظ امنیت و ذخیره سازی شماره تراکنش ها در دیتابیس ، این قابلیت را در ووکامرس فارسی افزوده ایم. به این معنی که پس از بروزرسانی به نسخه جدید ، می بایست افزونه ووکامرس فارسی (Persian WooCommerce) را در سایت نصب کنید.

برخی مارکت ها اقدام به فروش نسخه های قدیمی و توسعه یافته (تغییر در کدهای انتقال به بانک) از درگاه پرداخت رایگان ملت ووکامرس کرده اند. این افزونه ها به هیچ عنوان امن نبوده و مسئولیت آن بر عهده ما نمی باشد.

هم اکنون تمامی درگاه های پرداخت بانکی در مارکت ووکامرس فارسی (درگاه ملت ، ملی ، سامان ، پارسیان ، فناواکارت ، ایران کیش ، پرشین سوییچ و…) به آخرین نسخه بروزرسانی شده اند و کافیست از پنل حساب کاربری خود در فروشگاه ، اقدام به بروزرسانی نمایید. همچنین درگاه واسط Pay.ir نیز توسط خود ووکامرس فارسی به آخرین نسخه ارتقاء یافته است.

با احترام

 

‏2 نظرات

  • Author's gravatar
    ketab 27ام آذر 1397 , 2:46 ق.ظ

    دست شمادرد نکنه

    پاسخ
  • Author's gravatar
    متخصص اورولوژي 11ام دی 1397 , 7:52 ب.ظ

    سلام.خواستم بابت وبسایت خوبتون ازتون
    تشکر کنم و امیدوارم باعث ایجاد انگیزه براتون بشه

    پاسخ

ارسال پاسخ