Las vulnerabilidades de los complementos de WordPress que podrían permitir que otros manipulen su sitio de WordPress siempre son malas noticias.
Incluso si solo ejecuta una configuración básica que no tiene cuentas de clientes y no recopila ni procesa datos personales como nombres y direcciones de correo electrónico…
…ya es bastante preocupante saber que alguien más está modificando su contenido, promoviendo enlaces engañosos o publicando noticias falsas bajo su nombre.
Pero las vulnerabilidades de seguridad en los complementos que utiliza para respaldar los pagos en línea en su sitio son otra capa de preocupación.
Desafortunadamente, la popular plataforma de pago electrónico WooCommerce acaba de notificar a los usuarios de la siguiente manera:
El 22/03/2023 se descubrió una vulnerabilidad en WooCommerce Payments que, en caso de ser explotada, podría permitir el acceso de administradores no autorizados a las tiendas afectadas. Inmediatamente deshabilitamos los servicios afectados y solucionamos el problema para todos los sitios de WordPress.com, Pressable y alojados. [WordPress VIP].
Afortunadamente, la falla parece haberse encontrado como parte de una prueba de penetración autorizada oficialmente y realizada por un investigador de seguridad suizo, y WooCommerce parece estar seguro de que nadie más había descubierto la falla antes de enterarse por sí mismos:
Tan pronto como se informó la vulnerabilidad, comenzamos una investigación para determinar si se divulgaron datos o si se aprovechó la vulnerabilidad. Actualmente no tenemos indicios de que la vulnerabilidad se esté utilizando fuera de nuestro propio programa de pruebas de seguridad. Proporcionamos una solución y trabajamos con el equipo de complementos de WordPress.org para actualizar automáticamente los sitios que ejecutan WooCommerce Payments 4.8.0 a 5.6.1 a versiones parcheadas. Actualmente, la actualización se está implementando automáticamente en tantas sucursales como sea posible.
¿Cambiar o no cambiar las contraseñas?
Curiosamente, WooCommerce sugiere que incluso si los atacantes encontraran y explotaran esta vulnerabilidad, la única información que podrían haber robado sobre sus contraseñas de inicio de sesión habría sido los llamados hashes de contraseña salados, por lo que la compañía escribió que «es poco probable que su contraseña haya sido comprometida». «.
Como resultado, ofrece el extraño consejo de que puede salirse con la suya sin cambiar su contraseña de administrador, siempre [a] Utilizan el sistema de administración de contraseñas predeterminado de WordPress y no un método alternativo para administrar contraseñas que WooCommerce no puede garantizar, y [b] No está acostumbrado a usar la misma contraseña para múltiples servicios.
Perdón por preguntar, pero tú No comparta contraseñas entre sitios websin mencionar compartir la contraseña de la cuenta de administrador con su sistema de comercio electrónico, ¿verdad?
Sin embargo, la compañía le insta a «cambiar[e] cualquier dato privado o secreto almacenado en su base de datos de WordPress/WooCommerce”, que incluye específicamente datos como tokens de autenticación, cookies de sesión o claves API: los nombres de jerga para contraseñas esencialmente temporales que su navegador (u otro software) puede agregar en futuras solicitudes web para obtener acceso instantáneo.
Estas «contraseñas de medio tiempo» le permiten al servidor inferir que usted ha pasado recientemente por un proceso de inicio de sesión completo, lo que le permite confiar en usted y en sus aplicaciones preautorizadas sin obligarlo a compartir su contraseña principal real con cada aplicación o navegador. Pestaña que realiza solicitudes programáticas en su nombre.
Dado que generalmente tiene que copiar y pegar tokens de autenticación en otras aplicaciones para que puedan usarlos sin tener que escribirlos cada vez, generalmente se almacenan en texto sin formato, no con sal ni hash como su contraseña principal.
En pocas palabras, aunque los delincuentes con acceso administrativo a su cuenta no pueden recuperar el texto real de su contraseña principal, por lo general pueden (y si se les da la oportunidad) obtener el texto sin formato de cualquier token de autenticación que haya creado para su cuenta.
El proceso de «token de autenticación» es un poco como tener que mostrar una identificación con foto completa para pasar la recepción en un edificio de oficinas, después de lo cual recibe una tarjeta de acceso que le permite entrar y salir tantas veces como quiera, y dentro del edificio, aunque sea por un tiempo limitado.
Si alguien roba su identificación con foto, no le servirá de mucho a menos que se vea exactamente como usted, porque los detalles se verifican cuidadosamente cuando la presenta.
Pero si agarran su tarjeta de acceso mientras está en el edificio, pueden escabullirse con el pretexto de ser usted, porque la forma comparativamente difícil de adquirir la tarjeta de acceso en primer lugar significa que se ve como una forma confiable de obtenerlo. , al menos temporalmente identificado.
¿Qué hacer?
- Compruebe si tiene una versión parcheada del complemento de WordPress de WooCommerce Payments. La compañía afirma que los sitios web alojados en WordPress, Pressable y WordPress VIP ya deberían estar actualizados, pero aún así recomendamos verificar. Consulte el blog del desarrollador de WooCommerce para obtener instrucciones sobre cómo verificar (y parchear si es necesario). Cada una de las nueve (!) versiones de productos con soporte oficial de la empresa, desde la 4.8.xa la 5.6.x, tiene su propia actualización.
- Solicite a todos los administradores de su sitio que cambien sus contraseñas. WooCommerce sugiere que debería estar bien incluso si no cambia su contraseña, ya que los atacantes primero tendrían que descifrar cualquier hash de contraseña robado. Pero los hashes de su contraseña no deberían verse comprometidos en primer lugar, por lo que cambiarlos ahora es una precaución sensata. Tenga en cuenta que los ciberdelincuentes no necesitan descifrar los hashes robados de inmediato. Solo necesita descifrar uno o más de ellos antes de invalidar esos hashes cambiando las contraseñas a partir de las cuales se calcularon.
- Revoque todas las claves API actuales de Payment Gateway y WooCommerce. Genere nuevas claves como se explica en la documentación de WooCommerce para que las credenciales de autenticación comprometidas sean inútiles para los delincuentes que puedan haberlas adquirido.
