Hola Wecindario, te comunico que desde el pasado El 22 de marzo de 2023, salió a la luz una vulnerabilidad en el plugin WooCommerce Payments que de estar afectado se podría para acceder a las tiendas afectadas como administradores . Grave ¿ Verdad?
La vulnerabilidad la comunicó Michael Mazzolini de GoldNetwork , la cual estaba haciendo pruebas white hat para Automattic mediante el HackerOne. Y cuando salió la vulnerabilidad, empezaron una investigación para ver si se había expuesto algún dato o se había explotado la vulnerabilidad.
Desde la empresa enviaron la solución y están trabajando con el equipo de plugins de WordPress.org para actualizar los sitios que usan WooCommerce Payments 4.8.0 a 5.6.1 que es la versiones parcheadas.
Esta vulnerabilidad también afectar a WooPay , ( servicio de verificación de pagos en prueba beta) y está deshabilitado temporalmente.
Índice de contenidos
- 1 Si tengo WooCommerce Payments instalado. ¿Qué debo hacer?
- 2 ¿Cómo sé si mi versión está actualizada?
- 3 ¿Mi web han sido comprometidos?
- 4 ¿Qué contraseñas debo cambiar?
- 5 Somos proveedores de servicios, o desarrolladores ¿Debo alertar a mis usuarios de WooCommerce?
- 6 ¿Sigue siendo seguro usar WooCommerce?
Si tengo WooCommerce Payments instalado. ¿Qué debo hacer?
Si la web está en WordPress.com, la tienda está en proceso de actualización o ya está actualizada y ya no es vulnerabilidad. Inmediatamente, se desactivaron a los afectados y se solucionó el problema en todos los alojados, en WordPress.com.
Los sitios web con WC Pay 4.8.0 y superior instalado y activo el sitio que no estén en WordPress.com y que no se hayan actualizado a una versión parcheada (ver abajo), son potencialmente vulnerables al problema. Asegúrate de estar actualizado a la última versión ¿Cómo? Sigue leyendo:
- Vamos al administración de WP , luego a Plugins y buscamos WooCommerce Paymentes en la lista de plugins.
- Allí miramos a ver qué versión tiene y si hay o no actualzaciones
- En caso de tener pendiente una actualización en WooCommerce Payments ; hazlo sin dudarlo
Luego veremos si hay usuarios, administradores o publicaciones inesperadas en la web. Si vemos cosas extrañas que no hemos hecho nosotros debemos
- Cambiar las contraseñas de los usuarios administradores ,
- Cambiar las claves de API de WooCommerce y Payment Gateway utilizadas en tu sitio. Aquí tienes una guía de cómo actualizar tus claves API de WooCommerce. Recuerda que debes consultar la documentación de estos plugins o servicios específicos.
¿Cómo sé si mi versión está actualizada?
Aquí tienes la lista completa de versiones parcheadas de WooCommerce Payments. En este caso si estás ejecutando una versión de WooCommerce Payments que NO está en esta lista, debes de actualizar
Versiones de WooCommerce Payments parcheadas |
4.8.2 |
4.9.1 |
5.0.4 |
5.1.3 |
5.2.2 |
5.3.1 |
5.4.1 |
5.5.2 |
5.6.2 |
¿Mi web han sido comprometidos?
Si usas Plesk y tienes una herramienta que se llama ImunifyAV , úsala para hacer un escaner a la web, si está infectada, deberá reponer de una copia anterior, actualizar de inmediato, y proteger más tu WordPress
¿Qué contraseñas debo cambiar?
Es poco probable que las contraseñas se hayan visto comprometidas, pero por si acaso cámbialas
También debes cambiar cualquier dato almacenado en la base de datos WordPress/WooCommerce. Ya que allí puede incluir claves API, claves públicas/privadas para pasarelas de pago o más, según la configuración de tla tienda. Aquí tienes una guía de cómo actualizar tu clave API de WooCommerce. Para restablecer otras claves, revisa la documentación de cada plugin.
Somos proveedores de servicios, o desarrolladores ¿Debo alertar a mis usuarios de WooCommerce?
Así es, debes avisar a tus alojados o cliente del problema de WooCommerce , y el plugin WooCommerce Payments, si lo usan, que lo actualicen cómo decimos arriba
¿Sigue siendo seguro usar WooCommerce?
Así, una vez lo actualices seguirá seguro, estas cosas pasan en cualquier CMS y en cualquier plugin , de ahí que se recomienda siempre tener una copia actual, y tenerlo todo actualizado y No usar plugin beta. Recuerda , la vulnerabilidad no afecta al WooCommerce, solo afecta a WooCommerce Payments.
Y esto es todo Wecindario, si tiene alguna duda o comentario escríbeme. ¡Hasta la próxima Wecindario!
Tu Hosting a un Precio Excelente con Hoswedaje
Si estas pensando en crear tu página web pero no tienes decido el hosting, te ofrecemos nuestros servicios. Puedes consultar más información acerca de estos Hosting a continuación:
Si estas interesado en un Hosting para WordPress, consulta este enlace.
Si tienes un Ecommerce, este es tu Hosting ideal para PrestaShop.
Hosting Joomla, consulta los distintos planes.
Si tienes un Hosting Drupal, este es tu alojamiento.
Consulta el Hosting perfecto para Magento
Si necesitas realizar cualquier consulta, o quieres asesoramiento personalizado, contacta con nosotros.