В ролях:
И мы так, так жаль
В этом сообщении блога мы объясним, как некоторые обновления безопасности вызвали проблемы со входом в систему и выставлением счетов. Если вас интересуют технические вопросы, безопасность или любая из перечисленных ниже тем, оставайтесь и прочтите. В противном случае прокрутите до самого низа этого поста, чтобы получить от нас небольшой подарок вам!
Ключевые темы: WordPress, Woocommerce, CCBill, iThemes Security, HackRepair.com, Проблемы с подключением, Blacklists, Whitelists, Sloppy Programming
Модернизация безопасности
Безопасность всегда была для нас важной, поэтому мы используем SSL через весь наш сайт.
Мы думали, что мы еще больше повысим нашу игру безопасности и добавим дополнительную защиту от хакеров, DDoS-атак и ботов. За последние две недели мы выполняем эти дополнительные обновления безопасности.
Но обновления были слишком мощными и вызвали проблемы с регистрацией и выставлением счетов
Ниже мы обсудим наши решения и решения обеих этих проблем.
1) Проблемы входа
Некоторые пользователи связались с нами после обновлений безопасности, сообщив нам, что они не смогли войти в систему. Мы предполагаем, что у многих других пользователей были проблемы с регистрацией, из-за увеличения количества изменений пароля, которые мы наблюдали за последние две недели.
Мы вынудили изменение безопасности, которое разрешало пользователям регистрироваться с их адресом электронной почты. Раньше пользователям разрешалось входить в систему либо с их именем пользователя, либо с его адресом электронной почты. Поэтому пользователи, которые вошли в систему с их адресами электронной почты, не столкнулись бы с проблемой, но пользователи, которые вошли в систему с их именами пользователей, увидели бы сообщение об ошибке.
Когда мы реализовали настройку входа в систему «только по электронной почте», мы не осознали, что это новое требование не отражается должным образом на странице входа. Мы не хотим вводить наших клиентов в заблуждение, поэтому на данный момент мы отключили это требование входа в систему. Мы снова включим настройку «только электронная почта» после того, как должным образом переработали страницу входа в систему, чтобы отразить это требование.
Так продолжай! И продолжайте логин либо с вашего адреса электронной почты, либо с вашего имени пользователя. Выбор за вами (на данный момент).
2) Проблемы с выставлением счетов
Если вы попытались приобрести новый членский или индивидуальный платеж за столбец в течение последних двух недель, возможно, вы столкнулись с проблемой после оплаты вашего заказа нашим поставщиком биллинга CCBill.
Вот как должен идти процесс, когда все идет гладко:
- Добавьте в свою корзину полноправное членство или членство в расчете на должность
- Приступайте к оформлению заказа и заполняйте свою информацию
- Нажмите кнопку «перейти к оплате», после чего вы будете перенаправлены к нашему поставщику услуг выставления счетов, CCBill.
- Заполните данные своей кредитной карты и оплатите через форму CCBill
- CCBill перенаправляет вас обратно на KimCums.com, где вы можете перейти на нашу домашнюю страницу или перейти на страницу «Моя учетная запись».
- CCBill позволяет нашей системе электронной торговли знать, что ваш платеж был успешным
- Наша система электронной торговли помечает ваш заказ как «завершенный» и предоставляет вам немедленный доступ к приобретенному вами цифровому контенту.
Мы знали, что проблема с выставлением счетов была вызвана ошибкой связи на шаге 6. Мы могли видеть, что люди правильно перенаправлялись на CCBill, и мы получали электронные письма от CCBill, которые показывали, что платежи наших клиентов были успешными. Однако по какой-то причине наш сервер не получал информацию с сервера нашей биллинговой компании, и поскольку наша система электронной торговли не получала никакой информации о том, был ли ваш платеж успешным, она не помечала заказы как «завершенные». Вместо этого он помечает заказы как «ожидающий платеж», а затем как «отмененные» по истечении времени ожидания заказа.
Мы даже не были уверены, вызваны ли они новыми обновлениями для системы безопасности, или если это вызвано отдельными обновлениями нашей системы электронной торговли, что приводит к проблеме совместимости. Это был долгий процесс ликвидации, и я, наконец, сузил дело сегодня днем.
Решения
Здесь мы начинаем углубляться в некоторые детали безопасности и технические детали. Ниже приведен сокращенный отчет о наших устранении неполадок и решении. Прежде чем мы начнем, вот краткий обзор конфигурации нашего сайта. Наш веб-сайт основан на WordPress и использует следующие плагины: iThemes Security, WooCommerce с дополнительным платежным шлюзом CCBill.
Чтобы гарантировать, что моя биллинговая компания может отправить информацию об успешном платеже обратно на мой сервер и в систему WooCommerce, их IP-адреса и диапазоны должны быть внесены в белый список. Белый список IP-адресов означает, что мой сервер доверяет серверу моей биллинговой компании и принимает сообщения от них.
Однако я уже добавил все необходимые IP-адреса CCBill и диапазоны в белый список для брандмауэра моего сервера и в отдельный белый список для подключаемого модуля iThemes Security. Я также дважды проверил черный список iThemes Security на случай, если IP-адреса CCBill были ошибочно добавлены в этот список в рамках автоматизированного процесса.
В подключаемом модуле безопасности iThemes или на брандмауэре моего сервера не было настроек, которые должны были привести к тому, что серверы CCBill были бы занесены в черный список или заблокированы. Однако я временно отключил плагин и подтвердил, что причиной проблемы является плагин безопасности iThemes. Затем я сузил проблему до параметра «Запрещенные пользователи». Параметр «Запрещенные пользователи» содержит черный список, который я проверил ранее, но также содержит дополнительную настройку для использования черного списка, скомпилированного на сайте HackRepair.com. Плагин iThemes описывает этот черный список как отправную точку.
Как только я отключил функцию черного списка HackRepair.com, моя система заказов WooCommerce сразу же начала связываться с сервером CCBill. Я провел еще несколько тестов, включая и выключая эту функцию, и подтвердил, что виновата именно эта функция безопасности. Я был немного разочарован, узнав, что сторонняя функция черного списка была закодирована для переопределения и установления приоритета над несколькими белыми списками (эта иерархия не имеет для меня смысла), но я был счастлив, наконец, найти решение.
Мы сожалеем о возникшей проблеме, и мы сделали некоторые исправления для уязвимых клиентов
Если на ваш заказ повлияла эта проблема, вы должны были уже получить электронное письмо от нас, что-то вроде этого:
Уважаемый клиент,
Недавно мы обнаружили, что на KimCums.com возникла проблема, из-за которой у некоторых наших клиентов возникли проблемы с членством и заказами с оплатой по почте. Эта проблема возникла с 20 по 28 июня.
Вы получаете это электронное письмо, потому что ваш заказ / попытка заказа произошли в течение этого периода времени.
Приносим извинения за неудобства, и мы вручную одобрили ваш заказ. Теперь у вас должен быть полный доступ к членским взносам и статьям с оплатой за сообщение, которые вы пытались приобрести.
Пожалуйста, сообщите нам, если у вас возникнут дополнительные проблемы.
С уважением,
Команда поддержки KC
If you think your order was affected, and you did not receive an e-mail like the one above OR an automated “Your order is complete” e-mail from our WooCommerce system, please check your spam folder first. If you still do not see any communication from us, please contact us at admin@kimcumsdev.wpengine.com. We would love to resolve this problem for you!
Для всех остальных
Не забудьте сообщить нам, если вы столкнетесь с проблемой или ошибкой где-нибудь на KimCums.com. Мы не всегда знаем, что есть проблема, и не можем исправить проблемы, о которых не знаем. Мы также предлагаем коды купонов для ловцов ошибок, бесплатное членство или расширение членства, чтобы помочь нам, потому что мы действительно очень ценим членов нашего сообщества, которые помогают нам!
Кроме того, проявите терпение с нами! Нас просто расстраивает, когда что-то идет не так, как и для вас. Мы всего лишь небольшая команда (только я и Джей), и мы сами делаем все создание контента, техническую поддержку и обновление. Иногда эти обновления проходят гладко, а иногда просто сгорают. Это радость ведения небольшого независимого бизнеса. Так что просто отправьте нам как можно больше информации о проблеме, с которой вы столкнулись, и мы исправим ее как можно скорее.
Наслаждайтесь следующим кодом купона в качестве извинения за неудобства на прошлые недели.
У 20% скидка, потому что мы повысили нашу безопасность и сломали все. Пожалуйста, простите нас!
[ms_button style = "normal" link = "https://kimcums.com/cart/?apply_coupon=SECURITYOVERKILL2018 ″ size =" xlarge "shape =" square "shadow =" no "block =" yes "target =" _ self " gradient = "no" color = "# ff8d3f" text_color = "# ffffff" icon = "" icon_animation_type = "" border_width = "0 ″ class =" "id =" "]Применить SECURITYOVERKILL2018[/ Ms_button]
ограничение 1 на пользователя, истекает июль 31, 2018.
Спасибо за ваше терпение,
xoxo Kim