Hace algunos días había alarma en varios grupos de Whatsapp y Facebook en donde participo, de la comunidad freelance, WordPrees y ecommerce, debido al anuncio de que había una vulnerabilidad crítica en los servicios de pagos de WooCommerce.
Encima, con un viernes feriado en Argentina, lo que convertía el fin de semana en «largo», más pánico de parchar, hacer backup, blindar las tiendas, salir corriendo con el matafuegos o saltar a la yugular al programador a que lo resuelva.
¿Qué pasó y cuál es la afección? Al final de la nota te cuento como prevenir estas situaciones y además link al comunicado.
Tabla de contenidos
WooCommerce y WordPress ¿son seguros?
La respuesta es SI, totalmente. Que sean herramientas de código abierto las hace aún MAS seguras, ya que hay toda una comunidad de programadores, hackers de sombrero blanco (éticos), y cientos de sitios utilizando los complementos que hacen más visible cualquier error (bug), descuido de seguridad, y hay un parche casi de inmediato.
El código abierto es auditado permanentemente, casi de forma desinteresada y gratuita, por miles. Incluso las empresas de seguridad más reconocidas trabajan en reportar esos errores, ya que hay programas de beneficio y reconocimiento, tanto de vanidad como económico.
Pero, es cierto, más conocido un programa, más atractivo se hace de que «los malos» encuentren una vulnerabilidad y quieran aprovecharla.
¿Qué es WordPress y para qué sirve WooCommerce?
WordPress es un sistema CMS, es decir, gestor de contenidos. Inició para gestionar blogs personales, bitácoras, sitios pequeños. Con el tiempo se ha vuelto el sistema sobre el que se apoya el 35% del total de sitios de internet pública y accesible, y lo usan tiendas online, foros, comunidades sociales, grandes periódicos, web de gobierno, plataformas wiki, sistemas de aprendizaje y enseñanza de clases en línea, etc.
WooCommerce es un complemento que se suma a los cimientos de WordPress, y le da todo el poder de una gran tienda online, con sistema de catalogación de productos, precios, control de stock, logística, etc. WordPress admite la instalación de cientos de miles de plugins que suman funcionalidades, WooCommerce es un «súper plugin».
¿Qué pasó la semana pasada con la vulnerabilidad crítica en WooCommerce que afectaba los sistemas de pago?
Un investigador en seguridad informática, de una consultora especializada, notificó a WordPress (Auttomatic, la empresa que lo desarrolla y proyecta su crecimiento), en el programa de Denuncias Responsables sobre Vulnerabilidades Encontradas.
Al ingresar cualquier denuncia allí el equipo de seguridad y prevención de WordPress las analiza, evalúa y alerta a los equipos de desarrollo sobre como corregir esto y que acciones tomar.
Al mismo tiempo, el equipo de seguridad de WordPress analiza si los actores de amenaza (hackers malos) han estado explotando esta brecha; es decir, verifican si ya la conocían o es un nuevo hallazgo. De ese análisis se encuentra que NO hay ningún indicio de momento de que haya estado siendo vulnerada activamente.
¿Cuál ha sido el problema y por qué tanta alarma?
WordPress y otras empresas son muy responsables en el desarrollo seguro, pero también lo son cuando se encuentra algo que puede ser sospechoso o una vulnerabilidad activa, tanto en WordPress como en plugins o plantillas de terceros, desarrolladas por programadores u otras empresas, divulgando responsablemente y alertando a la comunidad para una rápida acción.
Entonces WooCommerce notificó en su blog y por mail a cientos de tiendas sobre esta situación, que es algo normal, nada más que por desconocimiento o quedarse sólo con el título nadie profundizó antes de salir corriendo a tomar el matafuegos y gritar por los pasillos.
El asunto es una conexión, a una plataforma de pagos determinada y bien identificada, en un archivo puntual, que posibilita a hackers con mucho conocimiento el poder «hacerse pasar» como administradores de la tienda y acceder a todo de ella. ¿Es grave? Si, claro. Pero es posible reducirlo en un 90% con buenas prácticas que el 99,8% de agencias, freelancer y diseñadores web NO usan en WordPress, cosas básicas para quienes hace años estamos en el asunto.
Es fácil implementar, instalar y diseñar en WordPress. Pero debes exigir a tu diseñador gráfico o community manager que cuente con el asesoramiento de un especialista.
¿Es posible que mi sitio haya sido vulnerado si no tengo en uso esa plataforma de pagos? ¿Podrían haberlo hecho?
Aquí dos cuestiones. Primero que la conexión potencialmente «vulnerable», estaba en un plugin de WooCommerce que facilita la conexión a los medios de pago.
¿Ahora, muerto el perro acabada la rabia?; el asunto es que el 85% de WordPress NO están actualizados al día, es decir, no usan la última versión lanzada, estable, con mejoras de seguridad. Y el 66% de WooCommerce, tampoco están actualizados a la última.
Esto sucede porque muchos dueños de tiendas, agencias o blogueros NO pagan un mantenimiento mensual, de mínima, que les haga backup, actualice WordPress y plugins, le apliquen mejoras de seguridad, permisos, etc.
Además, volviendo al inicio, WordPress es TAN fácil de instalar, que muchos lo instalan y ya, desconociendo como verificar seguridad de permisos en archivos, puertos, plugins de aseguramiento, contraseñas complejas, etc…
De acuerdo a todos los comunicados, tanto de WordPress, WooCommerce, Sucuri, y otras agencias de seguridad independientes, NO hay evidencia de tiendas atacadas o uso activo de esta brecha.
La noticia sigue en desarrollo, mientas el equipo de seguridad y desarrollo de WordPress y otras agencias asociadas continúan trabajando:
¿Cómo se resuelve?
¿Qué podés hacer para mejorar tu tienda WordPress, WooCommerce o Prestashop, para hacerla más segura, evitar hackeos y problemas?
Siempre lo mejor es contar con un consultor profesional en WordPress que pueda brindarte el asesoramiento y acompañamiento en tener:
una buena política de seguridad preventiva,
política de backups,
permisos, protección de servidor, aseguramiento del sistema base,
actualización permanente,
auditoría, capacitación y control de los usuarios,
WAF, plugins de aseguramiento, buenas prácticas de seguridad, etc.
¿Necesita un especialista?
Defina su horizonte. Contrate un consultor experimentado para controlar su ecommerce, auditar la agencia o freelance con quien está trabajando, además de armar un plan de crecimiento escalable consistente.
Fuente del comunicado original: