Una vulnerabilidad crítica de WooCommerce afrontada con rapidez

La semana pasada, el equipo de Woo anunció una vulnerabilidad crítica en el plugin de eCommerce más popular para WordPress: WooCommerce. Como se describe en su publicación, las actualizaciones de seguridad se enviaron a todas las ramas de Woo para los usuarios que no las habían desactivado. Esto se hizo de una manera muy rápida y eficiente. Además, el equipo de Woo ha sido extremadamente cooperativo al proporcionar toda la información necesaria que nos permitió añadir reglas de seguridad de manera proactiva a nuestro WAF (Web Application Firewall) para una capa adicional de protección. Descubre a continuación todas las acciones tomadas y sus resultados.

Actualizaciones ramificadas impulsadas por Woo

Debido a la gravedad de las vulnerabilidades descubiertas, el equipo de WooCommerce ha trabajado más de 36 horas de forma continua para parchear cada rama importante de lanzamiento. Esto significa que no tienes que cambiar de WooCommerce 4 a 5 para protegerte. Esas actualizaciones se enviaron y, si no las has desactivado explícitamente, lo más probable es que tu WooCommerce ya haya sido parcheado. Sin embargo, te recomendamos encarecidamente que lo revises. Todas las versiones de WooCommerce anteriores al último parche son vulnerables. Puedes verificar tu versión y compararla con la página de lanzamientos de WooCommerce en este enlace: https://developer.woocommerce.com/releases/. Por ejemplo, si tienes WooCommerce 5.5.2, simplemente debes actualizar a 5.5.1. Eso solucionará el problema de seguridad sin romper ninguna funcionalidad.

Protección WAF proactiva establecida por SiteGround

En lo que respecta a la seguridad, en SiteGround siempre hemos creído que ser proactivo es el mejor enfoque. Esta vulnerabilidad en particular no fue una excepción. Tan pronto como el equipo de Woo nos informó al respecto, actuamos de inmediato y agregamos una nueva regla de seguridad a nuestro Web Application Firewall (WAF), un sistema elaborado para la prevención de exploits que se ejecuta en todos nuestros servidores. Puedes considerar el firewall como un conjunto de reglas que abordan los intentos de explotación. Estamos constantemente atentos a la información sobre problemas de seguridad comunes y actuamos rápidamente agregando reglas de seguridad, de modo que nuestro sistema pueda bloquear los intentos de aprovechar dichos problemas. El sistema WAF no reparará un agujero de seguridad de un sitio web en particular, que solo puede hacerse mediante la actualización con la versión de seguridad, pero evita que los atacantes lo utilicen para obtener acceso no autorizado a tu sitio web.

Suscribirse a
más contenido increíble

Suscríbete para recibir nuestra newsletter mensual con contenido útil y ofertas de SiteGround.

¡Gracias!

Por favor, revisa tu correo electrónico para confirmar la suscripción.

Quizás te preguntes por qué necesitas una regla WAF cuando el equipo de Woo es rápido en lanzar una nueva versión de seguridad. Lo hacemos para asegurarnos de que nuestros usuarios tienen más tiempo para reaccionar, durante el cual sus sitios web están a salvo del exploit. Si bien Woo actualiza automáticamente la mayoría de los usuarios de WooCommerce, algunos sitios web no se actualizan por varias razones: la actualización automática falló, se deshabilitó o se pospuso demasiado. Algunos webmasters prefieren administrar las actualizaciones ellos mismos, principalmente porque quieren asegurarse de que la actualización no interfiera con ninguna de las funciones de su sitio web. Después de todo, estamos hablando generalmente de tiendas online, confiando en muchos plugins adicionales para envíos, pagos, seguimiento, impuestos y mucho más. Para estas personas, las reglas de WAF brindan tiempo para asegurarse de que todas sus funciones críticas funcionan con la nueva versión de Woo.

En líneas generales, la gestión de esta vulnerabilidad de Woo muestra cómo los esfuerzos combinados de los desarrolladores responsables de plugins y tu empresa de hosting web dan sus frutos: incluso en situaciones de emergencia, tus clientes están seguros y el negocio continúa como de costumbre.

author avatar
Hristo Pandjarov

Desarrollo de producto - Técnico

Entusiasta de todas las aplicaciones Open Source que te puedas imaginar, pero en WordPress más que ninguna. Añade una pizca de amor por el diseño web, nuevas tecnologías, SEO ¡y ya lo tendrás!

Seguridad

Iniciar discusión

¿Listo para iniciar tu web?

¡Elige un plan de hosting, crea o migra tu web en unos clics y haz crecer tu presencia online!

Primeros pasos Chatea con un experto