WooCommerce security onderzoek | Meer dan 35000 Nederlandstalige webshops onderzocht

Hoe veilig zijn de Nederlandstalige WooCommerce webshops

WooCommerce security onderzoek | Meer dan 35000 Nederlandstalige webshops onderzocht 1

door Remco Nieuwenhuizen

Eigenaar van WPsupporters

Erik Meijer van Datadepartment en Remco Nieuwenhuizen van de WPsupporters hebben nogmaals hun krachten gebundeld om een onderzoek te doen naar de beveiliging van Nederlandse webshops.

Vorig jaar was ons SEO snelheidsonderzoek al erg populair. En dit jaar hadden wilden wij ons vorige onderzoek overtreffen. Maar voordat we direct het diepe induiken… Eerst wat informatie.

Afgelopen Juli kwam naar buiten dat in alle versies van WooCommerce een kritieke kwetsbaarheid zat. Het was zo serieus dat eenieder die WooCommerce had geinstalleerd hierover een duidelijke melding kreeg. Uiteraard ging bij ons en hopenlijk heel veel anderen de alarmbellen rinkelen.
Bron: (WooCommerce)

Nu een aantal maanden later leek het ons interessant om te zien hoeveel webshops gehoor hebben gegeven aan deze noodkreet. En hoe het in zijn algemeenheid ervoor staat met de beveiliging van de Nederlandse webshops.

Heeft iedereen netjes de tips van WooCommerce opgevolgd?

Of is de beveiliging van een webshop anno 2021 nog steeds voor niet interessant voor een ondernemer.

Laten we hier eens dieper op induiken.

Kaders van het onderzoek

Voor dit onderzoek heeft Erik Meijer meer dan 200.000 Nederlandse WordPress websites onderzocht. Hieruit kwam een groep van 36493 Nederlandse webshops naar voren.

Het is goed om te vermelden dat dit 100% werkende Nederlandse webshops zijn met allen een KVK nummer op de website en het doel hebben om omzet te draaien.

Om deze data te verzamelen hebben we alleen informatie gebruikt die voor iedereen beschikbaar is in de broncode. Er zijn dus geen website’s gehackt of andere onkuise methodes.

“78% van de door ons onderzochte webshops maakt nog steeds gebruik van de standaard login URL”

Het onderzoek

Dan nu, wat komt er zoal naar voren als je meer dan 36000 Nederlandse webshops onderzoekt.

Allereerst hebben wij gekeken naar welke WooCommerce versie er actief is op de website. Op het moment van schrijven is versie 5.8.1 de nieuwste versie binnen WooCommerce.

In het originele bericht van WooCommerce op 13 Juli spreken zij over de versie 5.5.2 waarin de kritieke kwetsbaarheid is opgelost. In alle nieuwere versies van WooCommerce zit deze kritieke kwetsbaarheid dus niet meer.

Ook voor oudere versies van WooCommerce is er een update uitgebracht waar deze kwetsbaarheid is opgelost. In het originele bericht kan je zien welke versies dit zijn.

Maar hebben de Nederlandse webshophouders ook gehoor gegeven aan de oproep van WooCommerce om deze laatste update door te voeren.

Eerste cijfers
Uit onze data blijkt dat er 7570 webshops zijn die, 6 maanden na dato van het orginele bericht, nog steeds een onveilige versie van WordPress draaien. Op een totaal van 36493 webshops is dat meer dan 21% van de webshops met deze kritieke kwetsbaarheid.

Daaruit kunnen we wel concluderen dat een groot deel van de onderzochte webshops de veiligheid van hun shop minder nauw nemen dan eigenlijk zou moeten.

Deze 7570 webshops lopen dus nog steeds kans dat deze bekende kwetsbaarheid wordt uitgebuit waardoor er kwetsbare gegevens van de webshop en zijn klanten in verkeerde handen komt.

Hiervoor hoeven de hackers dus niet eens wachtwoorden of accounts te kraken. Ze kunnen simpelweg, op dezelfde manier als dat wij  hebben gedaan, achterhalen welke webshops niet zijn ge-update en deze bekende kwetsbaarheid uitbuiten.

Wat ons betreft een schokkende conclusie.

Hoe zit het verder met de updates van de webshops

Met onze data konden wij natuurlijk nog meer dingen onderzoeken over de huidige staat van de Nederlandse webshops.

Zoals elke WordPress webshopeigenaar wel weet zijn de updates binnen WordPress erg belangrijk. De uitslag van de test hierboven liet al zien dat veel webshops het niet zo nauw nemen met de updates.

Als we dit breder trekken en kijken hoe up to date alle WooCommerce websites nu zijn dan kunnen we concluderen dat er maar 7% van alle onderzochte WooCommerce websites de laatste update draaien.

Dat wil niet direct zeggen dat deze websites onveilig zijn. Maar 7% is niet een heel hoog getal.

En hoe zit het dan met de WordPress versie? Worden de core bestanden beter bij gehouden dan het Ecommerce gedeelte?

Uit onze data blijkt dat 79% van de websites up to date is qua WordPress versie.

Dit betekent niet dat deze websites allemaal de laatste WordPress versie (op moment van schrijven) 5.8.1 draait.

Maar dat de websites de laatste WordPress update in hun WordPress versie hebben geïnstalleerd.

Zijn er nog meer alarmbellen die rinkelen

Als laatste hebben we gekeken naar data waarvan veel mensen waarschijnlijk niet eens weten dat dit zomaar open en bloot te vinden is online.

Wij konden namelijk met een simpele test van meer dan 27500 webshops(76%) de gebruikersnamen achterhalen waarmee wordt ingelogd op de website.

Nu kan jij je wellicht afvragen hoe kwetsbaar dit is. Want zonder wachtwoord is er niets aan de hand toch?

Maar laten we er dan een 2de statistiek bij pakken, want dan wordt de kwetsbaarheid wellicht wat duidelijker.

Wij zagen dat de inlogurl van 28500 webshops (78%) niet is aangepast. Je kon dus gewoon via de /wp-admin URL inloggen op de site.

Combineer deze 2 gegevens samen. Dan heb je dus:

1: De gebruikersnaam van een website
2: De inlogurl van een website.

Als je dit samenvoegt met het feit dat 40% van de Nederlanders zijn wachtwoorden hergebruikt (bron: Tweakers). Dan begint het al te kriebelen.

Het enige wat een hacker nog hoeft te doen is een gebruikersnaam door zijn systeem te halen waarbij je snel kan controleren of er een wachtwoord bekend is van deze gebruikersnaam. En dit uittesten op de webshop.

Als dit lukt dan staan ze binnen, en daar hoeven ze niet eens geavanceerde hacktechnieken voor te gebruiken.

Om even een misverstand uit de weg te helpen. De zogenaamde “hacker” waar wij het over hebben is niet iemand die zelf achter zijn laptop gaat zitten proberen om in te breken op je website. Een hacker schrijft hiervoor een script of code die dit geautomatiseerd doet op duizenden en duizenden websites.

Daarom is het ook belangrijk om de inlogurl van een website te veranderen. Want de scrips kijken automatisch naar de /wp-admin of /wp-login url om hun actie uit te voeren. Zien ze dat deze url niet beschikbaar is gaan ze automatisch door naar de volgende site.

Zo zie je maar hoeveel potentieel onveilige webshops er zijn uit onze test.

Hoe kan je de beveiliging van je webshop verbeteren

Na het lezen van ons onderzoek snap ik dat je bij jezelf denkt: Hoe kan ik ervoor zorgen dat mij dit niet gebeurd.

Deze brandende vraag is eigenlijk simpel te beantwoorden.

1: Zorg ervoor dat je webshop de laatste updates heeft geïnstalleerd. Alle plugin ontwikkelaars zijn dag en nacht bezig om hun stukje software te verbeteren en te beveiligen. Als je hun updates niet installeert mis je al deze nieuwe ontwikkelingen en loop je sneller een risico dat er kwetsbaarheden zijn op de website.
2: Installeer een beveiliging plugin die minimaal de gebruikersnamen verbergt en de inlogurl van de shop veranderd. Zo zet je alle geautomatiseerde scripten buitenspel en zal je veel minder hackpogingen hebben op je site.

Of stap 3
Als je te weinig kennis of te weinig tijd hebt om je webshop up to date te houden. Denk er dan over na om dit uit te besteden aan een partij die hier gespecialiseerd in is. Bijvoorbeeld de WPsupporters.

Geef ons een beetje support, en deel met belangstellenden.

Facebook
Twitter
LinkedIn
WhatsApp

Lees ook:

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.