El pasado 22 de marzo, WordPress lanzó una actualización forzada de manera remota para todos aquellos sitios web que tuvieran instalado el plugin “WooCommerce Payments” tras detectarse en este una vulnerabilidad que podría permitir a un atacante el tomar el control absoluto tanto de la tienda electrónica como del sitio web donde se encontrara instalado dicho plugin.
Las versiones afectadas por dicha actualización van desde 4.8.0 a la 5.6.1 y se calcula que, solamente en WordPress.com, podría haber alojados más de 500.000 sitios web con el plugin activo, además la vulnerabilidad detectada podría afectar al nuevo servicio de pago “Woo Pay” que estaba siendo probado en Beta y que de momento ha sido suspendido hasta comprobar si se encuentra realmente afectado por lo que el número de tiendas electrónicas afectadas podría crecer exponencialmente.
No hay que olvidar que actualmente WooCommerce es una de las plataformas de tiendas online más extendidas en el mundo, lo que sumado a que muchos propietarios de estas tiendas electrónicas no tienen activadas las actualizaciones automáticas para evitar posibles inconvenientes en sus sitios web, ha hecho que la compañía solicitase a WordPress el que forzara la actualización de dicho plugin, a pesar de que según parece no hay evidencias de que se esté usando dicha vulnerabilidad de manera activa.
Tengo instalado WooCommerce Payments. ¿Qué hago?
Si su sitio web está alojado en WordPress.com, su tienda está en proceso de actualización o ya se ha actualizado para eliminar la vulnerabilidad.Todos los sitios web con WooCommerce Pay 4.8.0 y superior instalados y activados en su sitio, que no están alojados en WordPress.com y que no se han actualizado a una versión parcheada, siguen siendo potencialmente vulnerables a este problema. A continuación, te indicamos cómo asegurarte de tener la última versión:
- Desde el panel de control de tu WordPress, haz clic en Plugins y busca WooCommerce Payments en tu lista de plugins instalados.
- El número de versión debe mostrarse en la columna Descripción junto al nombre del complemento. Si este número coincide con cualquiera de las versiones parcheadas enumeradas anteriormente, no es necesario realizar ninguna otra acción.
- Si hay una nueva versión disponible para descargar, debería ver un aviso que lo guía para actualizar WooCommerce Payments; continúe y hágalo.
Una vez se esté ejecutando una versión segura del plugin, te recomendamos comprobar si hay usuarios administradores o publicaciones inesperadas en tu sitio. De ser así te recomendamos:
- Actualizar las contraseñas de cualquier usuario administrador en su sitio, especialmente si reutilizan las mismas contraseñas en varios sitios web.
- Rotación de cualquier pasarela de pago y claves API de WooCommerce utilizadas en su sitio. Aquí se explica cómo actualizar tus claves API de WooCommerce. Para restablecer otras claves, consulta la documentación de esos complementos o servicios específicos.
No hay que olvidar la importancia de mantener siempre actualizados nuestros sistemas, ya sean nuestros S.O., o como estamos viendo, los plugin de nuestro sitio web ya que solamente así nos podremos asegurar de recibir los últimos parches en materia de seguridad, independientemente de las mejoras y nuevas funcionalidades que puedan traer las nuevas versiones. Y es que algo tan sencillo como pulsar el botón de actualizar, nos puede ahorrar muchísimos quebraderos de cabeza si es que llegamos a sufrir algún tipo de intrusión en nuestros equipos o, como en el caso de esta vulnerabilidad, llegamos a perder el control de nuestra comercio electrónico.
