Vulnerabilidad grave de WooCommerce 2021: todo lo que necesita saber

Según las últimas estadísticas de complementos de WordPress, WooCommerce se considera uno de los mejores y más populares complementos de WordPress de todos los tiempos, con más de 5 millones de instalaciones activas.

Ese inmenso respaldo a veces tiene un precio. Es decir, este titán del comercio electrónico se ha convertido en un objetivo principal para los atacantes.

En particular, WooCommerce informó una vulnerabilidad crítica detectada en julio de 2021. Esta vulnerabilidad de WooCommerce causó una ola de pánico entre los propietarios de tiendas y usuarios.

¿Qué es esta vulnerabilidad? ¿Dejó algún daño? ¿Alguna tienda ha sido comprometida? ¿Y qué hizo WooCommerce para resolver el problema?

¡Sigue leyendo para descubrir las respuestas!

• Explicación de la vulnerabilidad de WooCommerce 2021
• Preguntas frecuentes sobre la vulnerabilidad de WooCommerce
• Cómo proteger sus tiendas WooCommerce de vulnerabilidades

Explicación de la vulnerabilidad de WooCommerce 2021

El 12 de julio de 2021, se detectó una vulnerabilidad crítica de WooCommerce relacionada con WooCommerce y el complemento WooCommerce Blocks. Josh, un investigador de seguridad, informó ese problema a través del programa de seguridad HackerOne de Automattic.

Después de llevar a cabo una investigación exhaustiva, WooCommerce detectó una vulnerabilidad de inyección SQL.

Como consecuencia, se recomienda encarecidamente a cualquier sitio que utilice WooCommerce o WooCommerce Blocks que actualice sus complementos si aún no han realizado una actualización automática.

Esta vulnerabilidad de WooCommerce fue tan grave que afectó a millones de usuarios. WooCommerce se apresuró a desarrollar un parche de seguridad para solucionar el problema de cada versión afectada (más de 90 versiones).

El parche se implementó automáticamente en sitios vulnerables de WooCommerce. Desde la perspectiva del propietario de una tienda, debe asegurarse de que tanto WooCommerce como WooCommerce Blocks estén actualizados a sus últimas versiones (5.5.1).

WooCommerce también aconsejó a todos los propietarios de sitios que actualizaran las contraseñas de los usuarios administradores. Además, sugirieron rotar las claves de API y pasarela de pago utilizadas en la tienda.

Entonces, ¿cómo puede saber si su versión está actualizada?

WooCommerce ha enumerado una tabla de versiones de parches para WooCommerce y WooCommerce Blocks.

Si encuentra que ninguna de sus versiones actuales coincide con ninguna de las versiones enumeradas, debe actualizar inmediatamente a la versión más alta disponible.

Preguntas frecuentes sobre la vulnerabilidad de WooCommerce

#1. ¿Qué es una vulnerabilidad de inyección SQL de WooCommerce?

Una inyección SQL permite a los piratas informáticos interferir con la base de datos utilizando scripts SQL maliciosos. Desde aquí, los atacantes pueden obtener el control del sitio. Muestran información o hacen que el sitio se comporte de forma extraña en comparación con lo habitual.

Además, según WordFence, esta vulnerabilidad de WooCommerce es una vulnerabilidad de inyección ciega de SQL.

#2. ¿Cómo puedo saber si los datos se vieron comprometidos?

Como dijo WooCommerce, no hay una forma exacta de confirmar si los datos se vieron comprometidos. El equipo sugiere verificar los registros de acceso de su servidor web para detectar algunos intentos de explotación.

Este proceso puede llevar tiempo y requerir ciertas habilidades de codificación. En caso de que le importe tocar el código, puede buscar ayuda de su proveedor de alojamiento web para revisar su registro de acceso.

Puede consultar el anuncio de WooCommerce para obtener más detalles.

#3. ¿Deberían los dueños de las tiendas alertar a sus clientes sobre la vulnerabilidad?

Notificar o no a los clientes depende de muchos factores, como la infraestructura de su sitio, qué datos almacena su sitio, etc. Sin embargo, lo más importante que debe tener en cuenta es si su sitio ha sido comprometido o no.

Haga esto primero antes de alertar a sus clientes: actualice su versión de WooCommerce a la que tiene el parche de seguridad que soluciona este problema. Esto ayudará a proteger a sus clientes de cualquier otra amenaza.

A continuación, vigile sus contraseñas, pasarelas de pago y claves API de WooCommerce. Siga exactamente lo que WooCommerce ha recomendado:

• Genere nuevas contraseñas o el administrador en su sitio, especialmente si reutiliza las mismas contraseñas en muchos sitios.
• Rote WooCommerce y cualquier clave API de pasarela de pago utilizada en su sitio.

#4. ¿Debo obtener el parche de seguridad automáticamente?

No. WooCommerce aconseja a los propietarios de las tiendas que intenten actualizar manualmente el complemento a la versión con parches de seguridad. Hay varias razones para eso:

• Estás usando una versión anterior de WooCommerce (inferior a la versión 3.3) en tu tienda.
• La actualización automática a la versión corregida puede causar conflictos de complementos.
• Ha desactivado las actualizaciones automáticas en su tienda.
• En caso de que su sistema de archivos sea de solo lectura, la actualización automática resultará inútil.

Cómo proteger sus tiendas WooCommerce de vulnerabilidades

#1. Utilice complementos de seguridad

Los complementos de seguridad parecen ser la forma más fácil pero efectiva de proteger su tienda WooCommerce de las vulnerabilidades. Todo lo que tienes que hacer es instalarlos en tu tienda y dejar que hagan la magia.

Supervisarán y escanearán sus sitios con regularidad, activarán los cortafuegos y se esforzarán por solucionar los agujeros de seguridad en el acto. Existen docenas de excelentes complementos de seguridad, tanto gratuitos como de pago, a saber, WordFence, Sucuri, JetPack, MalCare y más.

#2. Copia de seguridad, copia de seguridad y copia de seguridad

La copia de seguridad del sitio es tan esencial como cualquier estrategia lucrativa de su negocio. Resulta útil para proteger su sitio web de la pérdida de todos los datos en caso de ataques cibernéticos. Lamentablemente, algunos comerciantes de WooCommerce todavía lo han pasado por alto.

Para proteger su tienda de vulnerabilidades inesperadas de WooCommerce, debe optar por complementos sólidos de copia de seguridad de WordPress.

Busque el complemento que maneje todo tipo de datos, como archivos de WordPress, bases de datos, complementos y temas. Además, también debería ofrecer horarios de copia de seguridad flexibles.

#3. Reforzar la seguridad de inicio de sesión

Todos sabemos que la página de inicio de sesión de WordPress siempre está muy dirigida a los ataques maliciosos. Debe fortalecer la seguridad de inicio de sesión

• Limitación de intentos de inicio de sesión
• Ocultar la URL de inicio de sesión predeterminada
• Evitar el uso de "admin" como nombre de usuario
• Hacer uso de la autenticación de dos factores (2FA)

#4. Instale temas y complementos SEGUROS

Los temas y complementos seguros se refieren a los que provienen de fuentes autorizadas y confiables. Estos incluyen el repositorio de complementos de WordPress, el directorio de temas, el mercado de WooCommerce, desarrolladores externos de renombre, etc.

Aparte de eso, asegúrese de no usar complementos y temas nulos de WordPress que se venden innumerables a un precio muy bajo en Internet.

Recuerde, ¡los temas y complementos nulos de WordPress apestan! No son más que el contenedor de malware y backdoor para atacar.

No podemos enfatizar lo suficiente cuánto significan los temas y complementos seguros para la seguridad del sitio. Consulte nuestras estadísticas de seguridad de WordPress para saber por qué.

#5. Instalar un certificado SSL

¿Su sitio obtiene un certificado SSL? En caso afirmativo, felicidades, ha agregado una capa de seguridad adicional a su tienda. Todos los datos confidenciales de usted y sus clientes están seguros.

Un certificado SSL garantizará que los datos intercambiados entre sus clientes y la tienda estén encriptados. En ese momento, todos los datos confidenciales de sus clientes, incluidos los datos bancarios, las transacciones entre ambos, etc. están seguros.

En caso de que su respuesta sea "Todavía no", ¡necesita obtener un certificado SSL para su tienda lo antes posible! ¿Por qué? Porque Google ha incluido SSL como uno de los factores de clasificación.

(Fuente de imagen)

#6. Actualice regularmente su sitio

La mayoría de los propietarios de sitios tienden a olvidar u odian actualizar sus sitios porque les preocupa que la nueva versión cause conflictos. Ese es un muy mal hábito.

Aparte de eso, solo actualizar WordPress y WooCommerce no es suficiente. Debe asegurarse de que todos los complementos en su sitio estén actualizados. Elimine también cualquier complemento no utilizado o que no haya sido probado con las últimas versiones de WordPress.

Consejo profesional: intente hacer un programa de actualización y manténgalo para que no se lo pierda.

¿WooCommerce sigue siendo seguro?

¡Sí definitivamente!

Según WordFence Threat Intelligence, hay muy poca evidencia de tiendas comprometidas. Por lo tanto, debe estar seguro de que no hay un ataque generalizado que dañe los sitios de WooCommerce y WooCommerce sigue siendo seguro y potente.

Este artículo ha explicado en detalle qué es la vulnerabilidad de WooCommerce, cómo afectó a los propietarios de sitios y cómo respondió WooCommerce al problema.

Además de eso, también le mostramos las mejores prácticas para proteger sus tiendas WooCommerce de las vulnerabilidades.

¿Tiene algún comentario sobre esta vulnerabilidad de WooCommerce? ¡Comparta sus pensamientos en la sección de comentarios a continuación!