Apresentando:
E nós estamos tão, desculpe
Explicaremos como algumas atualizações de segurança causaram problemas de login e cobrança nesta postagem do blog. Se você estiver interessado em assuntos de tecnologia, segurança ou qualquer um dos tópicos abaixo, fique por aqui e leia. Caso contrário, vá até o final desta postagem para obter um pequeno presente nosso para você!
Tópicos chave: WordPress, Woocommerce, CCBill, Segurança iThemes, HackRepair.com, Problemas de login, Listas negras, Whitelists, Sloppy Programming
Atualizações de segurança
A segurança sempre foi importante para nós, e é por isso que nós usamos SSL em todo o nosso site.
Pensamos em aprimorar ainda mais nosso jogo de segurança e adicionar mais segurança contra hackers, ataques DDoS e bots. Nas últimas duas semanas, temos realizado essas atualizações de segurança adicionais.
Mas as atualizações foram muito poderosas e causaram problemas de login e cobrança
Discutiremos nossas correções e soluções para esses dois problemas abaixo.
1) Problemas de login
Alguns usuários entraram em contato conosco após as atualizações de segurança nos dizendo que não conseguiram fazer o login. Estamos assumindo que muitos outros usuários também tiveram problemas de login, devido ao aumento no número de alterações de senha que vimos nas últimas duas semanas.
Forçamos uma alteração de segurança que permitia apenas que os usuários fizessem login com seu endereço de e-mail. Anteriormente, os usuários podiam fazer login com seu nome de usuário OU seu endereço de e-mail. Portanto, os usuários que efetuaram login com seus endereços de e-mail não encontraram nenhum problema, mas os usuários que fizeram logon com seus nomes de usuário teriam visto uma mensagem de erro.
Quando implementamos a configuração de login “somente e-mail”, não percebemos que esse novo requisito não estava sendo devidamente comunicado na página de login. Não gostamos de confundir nossos clientes, então, por enquanto, desativamos esse requisito de login. Vamos ativar a configuração “somente e-mail” novamente depois de redesenhar adequadamente a página de login para refletir este requisito.
Então continue! E continue a fazer o login com seu endereço de e-mail OU seu nome de usuário. A escolha é sua (por enquanto).
2) Problemas de faturamento
Se você tentou adquirir uma nova associação ou um item de pagamento por postagem individual nas últimas duas semanas, pode ter encontrado um problema depois de pagar pelo seu pedido com nosso provedor de cobrança CCBill.
Veja como deve ser o processo, quando tudo está indo bem:
- Adicione uma assinatura completa ou uma assinatura de pagamento por postagem ao seu carrinho
- Vá até o caixa e preencha suas informações
- Clique no botão “prosseguir para checkout” e, em seguida, são redirecionados para nosso provedor de cobrança, CCBill
- Preencha os dados do seu cartão de crédito e pague através do formulário CCBill
- CCBill redireciona você de volta para KimCums.com, onde você pode escolher ir para nossa página inicial ou ir para a página “Minha conta”
- O CCBill permite que nosso sistema de comércio eletrônico saiba que seu pagamento foi bem-sucedido
- Nosso sistema de comércio eletrônico marca seu pedido como "concluído" e concede a você acesso imediato ao conteúdo digital que você comprou
Sabíamos que o problema de faturamento era causado por um erro de comunicação na etapa 6. Pudemos ver que os indivíduos estavam sendo redirecionados corretamente para o CCBill e estávamos recebendo e-mails do CCBill que mostravam que os pagamentos de nosso cliente foram bem-sucedidos. No entanto, por algum motivo, nosso servidor não estava recebendo informações do servidor de nossa empresa de faturamento e, como nosso sistema de comércio eletrônico não estava recebendo nenhuma informação sobre se o seu pagamento foi bem-sucedido ou não, não estava marcando nenhum pedido como “concluído”. Em vez disso, ele marcou os pedidos como “pagamento pendente” e, em seguida, como “cancelado” depois que o pedido expirou.
Não tínhamos certeza se isso estava sendo causado por nossas novas atualizações de segurança ou se isso estava sendo causado por atualizações separadas em nosso sistema de comércio eletrônico, resultando em um problema de compatibilidade. Foi um longo processo de eliminação e finalmente reduzi a causa esta tarde.
Soluções
Aqui, começamos a nos aprofundar em alguns detalhes de segurança e tecnologia. Abaixo está o relato abreviado de nossa solução de problemas e solução. Antes de começar, aqui está uma breve visão geral da configuração do nosso site. Nosso site é baseado em WordPress e executa os seguintes plug-ins: iThemes Security, WooCommerce com um complemento de gateway de pagamento CCBill.
Para garantir que minha empresa de cobrança possa enviar informações sobre um pagamento bem-sucedido de volta ao meu servidor e sistema WooCommerce, seus endereços IP e intervalos precisam ser incluídos na lista de permissões. Uma lista de permissões de IP significa que meu servidor confia no servidor de minha empresa de faturamento e aceita comunicações deles.
No entanto, eu já tinha adicionado todos os intervalos e endereços IP CCBill necessários à lista de permissões do firewall do meu servidor e à lista de permissões separada do plugin iThemes Security. Eu também verifiquei duas vezes a lista negra do iThemes Security para o caso de os IPs do CCBill terem sido adicionados por engano a essa lista como parte de um processo automatizado.
Não havia nenhuma configuração no plug-in de segurança do iThemes ou no firewall do meu servidor que deveria resultar na inclusão ou bloqueio dos servidores do CCBill na lista negra. No entanto, desativei temporariamente o plug-in e confirmei que era o plug-in de segurança do iThemes que estava causando o problema. Em seguida, reduzi ainda mais o problema à configuração “Usuários banidos”. A configuração “Usuários banidos” contém a lista negra que eu verifiquei antes, mas também contém uma configuração adicional para usar uma lista negra compilada do HackRepair.com. O plugin iThemes descreve esta lista negra como um ponto de partida.
Assim que desativei o recurso de lista negra do HackRepair.com, meu sistema de pedidos WooCommerce começou a se comunicar com o servidor CCBill imediatamente. Realizei mais alguns testes, ativando e desativando esse recurso, e confirmei que esse recurso de segurança em particular era o culpado. Fiquei um pouco frustrado ao saber que um recurso de lista negra de terceiros foi codificado para se substituir e se priorizar em relação a várias listas brancas (essa hierarquia não faz sentido para mim), mas fiquei feliz por finalmente ter uma solução.
Lamentamos o problema que isso causou e fizemos algumas correções manuais para os clientes afetados
Se o seu pedido foi afetado por este problema, você já deve ter recebido um e-mail nosso:
Prezado Cliente,
Recentemente, descobrimos que houve um problema no KimCums.com que fez com que alguns de nossos clientes tivessem problemas com sua assinatura e pedidos de pagamento por postagem. Este problema ocorreu entre 20 de junho - 28 de junho.
Você está recebendo este e-mail porque seu pedido / tentativa de compra ocorreu dentro desse período de tempo.
Pedimos desculpas pelo inconveniente e aprovamos seu pedido manualmente. Agora você deve ter acesso total às assinaturas e itens de pagamento por postagem que estava tentando comprar.
Por favor, deixe-nos saber se você tiver mais problemas.
Atenciosamente,
Equipa de Suporte KC
Se você acha que seu pedido foi afetado e não recebeu um e-mail como o acima OU um e-mail automático “Seu pedido foi concluído” de nosso sistema WooCommerce, verifique primeiro sua pasta de spam. Se você ainda não receber nenhuma comunicação nossa, entre em contato conosco pelo e-mail admin@kimcumsdev.wpengine.com. Adoraríamos resolver esse problema para você!
Para todos os outros
Por favor, lembre-se de nos informar se você tiver um problema ou encontrar um bug em qualquer lugar do KimCums.com. Nem sempre sabemos que há um problema e não podemos consertar problemas que não conhecemos. Também oferecemos nossos códigos de cupons coletores de bugs, associações gratuitas ou extensões de associação para nos ajudar porque realmente apreciamos os membros da nossa comunidade que nos ajudam!
Além disso, seja paciente conosco! É frustrante para nós quando algo dá errado como aconteceu com você. Somos apenas uma pequena equipe (somos apenas eu e Jay) e fazemos toda a criação de conteúdo, suporte técnico e atualizações. Às vezes, essas atualizações ocorrem sem problemas e, outras vezes, é um incêndio no lixo. É a alegria de administrar uma pequena empresa independente. Portanto, envie-nos o máximo de informações que puder sobre o problema que está enfrentando e nós o corrigiremos o mais rápido possível.
Aproveite o seguinte código de cupão como desculpa pelas inconveniências das últimas semanas.
Desativou 20% porque atualizamos nossa segurança e quebramos tudo. Por favor, nos perdoe!
[ms_button style = ”normal” link = ”https://kimcums.com/cart/?apply_coupon=SECURITYOVERKILL2018 ″ size =” xlarge ”shape =” square ”shadow =” no ”block =” yes ”target =” _ self ” gradiente = ”no” color = ”# ff8d3f” text_color = ”# ffffff” icon = ”” icon_animation_type = ”” border_width = ”0 ″ class =” ”id =” ”]Aplicar SECURITYOVERKILL2018[/ ms_button]
limite 1 por usuário, expira em julho 31, 2018.
Obrigado por toda sua paciência
xoxo kim