Hola Wecindario, te comunico que desde el pasado El 22 de marzo de 2023, salió a la luz una vulnerabilidad en el plugin  WooCommerce Payments que de estar afectado se podría para acceder a las tiendas afectadas como administradores . Grave ¿ Verdad?

La vulnerabilidad la comunicó Michael Mazzolini de GoldNetwork , la cual estaba haciendo pruebas white hat para Automattic mediante el HackerOne. Y cuando salió la vulnerabilidad, empezaron una investigación para ver si se había expuesto algún dato o se había explotado la vulnerabilidad.

Hosting Web

Desde la empresa enviaron la solución y están trabajando con el equipo de plugins de WordPress.org para actualizar los sitios que usan WooCommerce Payments 4.8.0 a 5.6.1 que es la versiones parcheadas.

Esta vulnerabilidad también afectar a WooPay , ( servicio de verificación de pagos en prueba beta) y está deshabilitado temporalmente.

Si tengo WooCommerce Payments instalado. ¿Qué debo hacer?

Si la web está en WordPress.com, la tienda está en proceso de actualización o ya está actualizada y ya no es  vulnerabilidad. Inmediatamente, se desactivaron a los afectados y se solucionó el problema en todos los alojados, en WordPress.com.

Los sitios web con WC Pay 4.8.0 y superior instalado y activo el sitio  que no estén en WordPress.com y que no se hayan actualizado a una versión parcheada (ver abajo), son potencialmente vulnerables al problema. Asegúrate de estar actualizado a la última versión ¿Cómo? Sigue leyendo:

  1. Vamos al administración de WP , luego a  Plugins y buscamos WooCommerce Paymentes en la lista de plugins.
  2. Allí miramos a ver qué versión tiene y si hay o no actualzaciones
  3. En caso de tener pendiente una actualización en  WooCommerce Payments ; hazlo sin dudarlo

Luego veremos si hay usuarios, administradores o publicaciones inesperadas en la web. Si vemos cosas extrañas que no hemos hecho nosotros debemos

  1. Cambiar las contraseñas de los usuarios administradores ,
  2. Cambiar las claves de API de WooCommerce y Payment Gateway utilizadas en tu sitio. Aquí tienes una guía de cómo actualizar tus claves API de WooCommerce. Recuerda que debes consultar la documentación de estos plugins o servicios específicos.

¿Cómo sé si mi versión está actualizada?


Aquí tienes la lista completa de versiones parcheadas de WooCommerce Payments. En este caso si estás ejecutando una versión de WooCommerce Payments que NO está en esta lista, debes de actualizar

Versiones de WooCommerce Payments parcheadas
4.8.2
4.9.1
5.0.4
5.1.3
5.2.2
5.3.1
5.4.1
5.5.2
5.6.2

¿Mi web han sido comprometidos?

Si usas Plesk y tienes una herramienta que se llama ImunifyAV , úsala para hacer un escaner a la web, si está infectada, deberá reponer de una copia anterior, actualizar de inmediato, y proteger más tu WordPress

¿Qué contraseñas debo cambiar?

Es poco probable que las contraseñas se hayan visto comprometidas, pero por si acaso cámbialas

También debes cambiar cualquier dato almacenado en la base de datos WordPress/WooCommerce. Ya que allí puede incluir claves API, claves públicas/privadas para pasarelas de pago o  más, según la configuración de tla tienda. Aquí tienes una guía de cómo actualizar tu clave API de WooCommerce. Para restablecer otras claves, revisa la documentación de cada plugin.

Somos  proveedores de servicios, o desarrolladores ¿Debo alertar a mis usuarios de WooCommerce?

Así es, debes avisar a tus alojados o cliente del problema de  WooCommerce , y el plugin WooCommerce Payments, si lo usan, que  lo actualicen cómo decimos arriba

¿Sigue siendo seguro usar WooCommerce?

Así, una vez lo actualices seguirá seguro, estas cosas pasan en cualquier CMS y en cualquier plugin , de ahí que se recomienda siempre tener una copia actual, y tenerlo todo actualizado y No usar plugin beta. Recuerda , la vulnerabilidad no afecta al WooCommerce, solo afecta a  WooCommerce Payments.

Y esto es todo Wecindario, si tiene alguna duda o comentario escríbeme. ¡Hasta la próxima Wecindario!

Hosting Web

Tu Hosting a un Precio Excelente con Hoswedaje

Si estas pensando en crear tu página web pero no tienes decido el hosting, te ofrecemos nuestros servicios. Puedes consultar más información acerca de estos Hosting a continuación:

Registros de Plesk  Si estas interesado en un Hosting para WordPress, consulta este enlace.

Archivos Logs  Si tienes un Ecommerce, este es tu Hosting ideal para PrestaShop.

Registros de Plesk  Hosting Joomla, consulta los distintos planes.

Archivos Logs  Si tienes un Hosting Drupal, este es tu alojamiento.

Registros de Plesk  Consulta el Hosting perfecto para Magento

Si necesitas realizar cualquier consulta, o quieres asesoramiento personalizado, contacta con nosotros.