La posible vulnerabilidad Woocommerce ha sido un tema muy debatido en las últimas semanas, desde que detectaron este gran problema en uno de los grandes sistemas de comercio electrónico del mundo. Si tienes una tienda online construida con estos plugins, debes de saber que es de vital importancia que actualices tu plugin de WooCommerce a la última versión de tu rama o a la última versión v.5.5.1. Por otro lado, el complemento WooCommerce Blocks en las versiones 2.5 a 5.5 también ha sido afectado.
El 13 de Julio de 2021, el investigador de seguridad Josh identificó y divulgó de manera responsable una vulnerabilidad crítica. Este problema está relacionado e identificado con el plugin de WooCommerce (en sus versiones 3.3 a 5.5) y el complemento WooCommerce Blocks (entre sus versiones 2.5 a 5.5).
Josh informó a través del programa de seguridad WordPress HackerOne. Desde entonces, están auditando sin descanso y poniendo soluciones tan pronto cómo les ha sido posible en todas las bases de código relacionadas y generando parches de seguridad en todas las versiones afectadas.
Estos parches han sido implementados de forma automática en las tiendas de WordPress con actualización automática y en las tiendas montadas en el dominio WordPress.com y las tiendas que forman parte de WordPress VIP.
Comprueba tu versión y si no tienes activada la funcionalidad de actualizaciones automáticas en WordPress, actualiza tus Plugins WooCommerce y WooCommerce Blocks a las últimas versiones de su rama o si es posible a la última versión.
¿Cómo sé si mi versión de WooCommerce está actualizada correctamente o es vulnerable?
1. Consulta la última version de tu rama desde el sitio web de WooCommerce, donde verás todas las versiones de lanzamientos. ¿Qué son las ramas de lanzamientos o release branch? Si trabajas con la versión 4.9 de WordPress, deberás tener instalada al menos la versión 4.9.3 (que es la última versión de la rama «4.9»).
Recuerda que siempre la mejor alternativa es actualizar si es posible a la última versión 5.5.1.
2. En la siguiente lista tienes todas las versiones parcheadas que evitarán los problemas de vulnerabilidad para tu plugin de WooCommerce y WooCommerce Blocks. Si tu versión no está en la lista, actualiza inmediatamente.
Versiones parcheadas de WooCommerce | Versiones parcheadas de WooCommerce Blocks |
3.3.6 | 2.5.16 |
3.4.8 | 2.6.2 |
3.5.9 | 2.7.2 |
3.6.6 | 2.8.1 |
3.7.2 | 2.9.1 |
3.8.2 | 3.0.1 |
3.9.4 | 3.1.1 |
4.0.2 | 3.2.1 |
4.1.2 | 3.3.1 |
4.2.3 | 3.4.1 |
4.3.4 | 3.5.1 |
4.4.2 | 3.6.1 |
4.5.3 | 3.7.2 |
4.6.3 | 3.8.1 |
4.7.2 | 3.9.1 |
4.8.1 | 3.9.1 |
4.9.3 | 4.1.1 |
5.0.1 | 4.2.1 |
5.1.1 | 4.3.1 |
5.2.3 | 4.4.3 |
5.3.1 | 4.5.3 |
5.4.2 | 4.6.1 |
5.5.1 | 4.7.1 |
4.8.1 | |
4.9.2 | |
5.0.1 | |
5.1.1 | |
5.2.1 | |
5.3.2 | |
5.4.1 | |
5.5.1 |
¿Qué hacer si tienes una tienda de WooCommerce para evitar el problema de vulnerabilidad?
Si no tienes tu tienda online alojada en WordPress.com, WordPress VIP o no tienes activada las actualizaciones automáticas del plugin, lo primero es comprobar tu versión del plugin. Y si no está acorde a la última versión de su rama o en la última versión actualiza tu plugin inmediatamente. Esta actualización de carácter crítico. Debes actualizar a la versión 5.5.1 o a la más alta posible de su rama.
Todas las actualizaciones automáticas que pueden generar el equipo de WooCommerce.com, están siendo ejecutadas, pero no todos los webmaster tenemos esto así configurado, puesto que no es algo demasiado fiable para el correcto funcionamiento del sitio web en muchas ocasiones. Es por ello que deja de leer este artículo si no tienes realizada la actualización y ponte manos a la obra.
¿Los datos han sido comprometidos a posibles ataques?
En este caso, este problema de vulnerabilidad por parte del equipo de WooCommerce ha sido más comprometido. Desde la entrada original indican que tienen aún la investigación en curso. Todavía deben de informar sobre esta problemática. Próximamente compartirán más información con los propietarios de sitios webs sobre cómo investigar esta vulnerabilidad. Lo publicarán en el blog cuando esté listo. Aunque hacen referencia que, si una tienda se ha visto afectada, la información expuesta podrá ser la propia del sitio web, incluyendo todos los datos sobre pedidos, clientes y administración.
¿Woocomerce ya no es seguro?
Por supuesto que lo es, este tipo de incidentes son poco comunes, pero desafortunadamente hay veces que ocurren de forma inevitable. Solo que debemos estar “en medida de lo posible” atentos a todos los comentarios del equipo de WooCommerce. Ellos responden de inmediato y operan con total transparencia, lo cual dice mucho sobre ellos.
Todo el equipo a estado trabajando 24 horas sin descanso para implementar la mejor solución para todos los usuarios.
Debéis de pensar que están continuamente invirtiendo en seguridad sobre su plataforma. Es por ello que previenen la gran mayoría de problemas, pero cuando existe algún caso que puedan las tiendas verse afectadas, ponen a trabajar a toda la comunidad.
Mi sitio web de WooCommerce ha sido afectado. ¿Qué debo de hacer?
Si tu sitio web ha sido afectado por este problema de vulnerabilidad abre un ticket con el equipo de soporte de WooCommerce.
https://woocommerce.com/my-account/create-a-ticket/
Por otro lado, si no estás acostumbrado o no sabes cómo hacerlo y necesitas ayuda, puedes ponerte en contacto con nosotros y te ayudaremos a resolver tu problema.
¿Cómo puedo comprobar si mi tienda fue explotada?
Es posible que se detecten intentos de acceso a través de la API de WordPress o accesos directos a los directorios siguientes (es por ello que es muy importante tenerla desactivada o restringida si no la vamos a utilizar). Además, han encontrado vistas desde Diciembre de 2019 por lo que… es muy importante que compruebe entre sus logs las siguientes peticiones:
¿Direcciones IPs que han realizado el ataque? Eso no lo sabemos de momento, pero según informan han aprovechado esta vulnerabilidad en woocommerce
Por otro lado informan de las IPs responsables de aprovechar esta vulnerabilidad son las siguientes:.
- 137.116.119.175
- 162.158.78.41
- 103.233.135.21
Entre ellas la primera dirección ha resultado ser la mayoritaria, más del 98% de las solicitudes al servidor provienen de esta.
Mi versión de WooCommerce es muy antigua ¿Qué hago?
Un usuario de WooCommerce expone la siguiente situación:
Tiene la versión 3.4.8 (que es la última de su rama 3.4) y pregunta si es necesario actualizar a una superior.
Puedes ver desde este enlace cual es la última versión de tu rama de woocoomerce.
Beau Vida (Beau Vida experto de WOO) responde diciendo que esa versión está parcheada. Sin embargo, al ser una versión muy antigua de WooCommerce, recomienda encarecidamente que actualice o busque un camino para llevar a cabo la actualización.
Recomendaciones tras la actualización de WooCommerce
- Cambiar la contraseña de usuarios.
- Realiza actualizaciones básicas de seguridad en tu sitio de WordPress. Cabe destacar: desactivar la REST API de WordPress si no la estás utilizando, realizar restricciones en el htaccess, desactivar xml-rpc o proteger el wp-config.php.
- Revisa los logs de tu sitio en el servidor. Mira que no tengan solicitudes extrañas en exceso.