Portada WooCommerce Plugin WooCommerce Checkout Manager – Vulnerabilidad Detectada
Si tienes instalado WooCommerce y estás usando el popular plugin WooCommerce Checkout Manager, debes saber que han sufrido un problema de seguridad y debes tomar medidas lo antes posible para no verte afectado.
El plugin WooCommerce Checkout Manager es muy popular entre los administradores de WooCommerce, ya que permite personalizar los campos de la página de venta de WooCommerce.
Esto significa que, por ejemplo, podemos eliminar los campos relacionados con la dirección de entrega, si solo vendemos productos online o cualquier otro campo inservible en nuestra tienda online.
En el blog de formación de Hostinet, lo estuvimos revisando en su día y lo recomendamos por su facilidad de uso.
En el momento de escribir este artículo, el plugin está activado en más de 60 mil sitios WooCommerce.
Si eres uno de los usuarios que tiene instalado WooCommerce Checkout Manager, lo que debes hacer de inmediato es revisar qué versión tienes instalada.
Cualquier versión anterior a la 4.3, deberás actualizar a la última versión disponible. En estos momentos la versión 4.3 no tiene problemas de seguridad ya que ha sido parcheada por los desarrolladores.
Si tienes una versión anterior a la 4.3, deja de leer esto y actualiza lo antes posible.
Según el propio desarrollador del plugin, no es necesaria ninguna otra intervención más que actualizar.
Por el momento, no se ha detectado una explotación de la vulnerabilidad, pero eso no significa que no se vaya a realizar en los próximos días, por este motivo es necesario actualizar cuanto antes.
En los últimos problemas de seguridad que hemos encontrado en los plugins de WordPress, como Yellow Pencil Visual Theme Customizer, Yuzo Related Post, Social Warfare o Easy WP SMTP, se modificaba la URL de acceso al sitio para redirigirlos a sitios fraudulentos, pero la vulnerabilidad al plugin Checkout Manager es bien distinta.
En ciertas configuraciones del plugin, los usuarios pueden subir archivos asociados a sus productos y ahí es donde se encuentra el problema de seguridad.
Un error en la programación permitía subir archivos maliciosos sin ningún tipo de control de seguridad.
De la misma forma que el usuario puede subir archivos, también puede eliminarlos, pero el fallo de seguridad permite a un usuario no autentificado, no solo eliminar sus archivos subidos, ¡¡sino también el resto de archivos subidos en la biblioteca de medios!!
Es decir, que un atacante que quiera fastidiarnos, puede eliminar cualquier elemento que se encuentre en la biblioteca de medios.
Imagínate que un día te encuentras tu tienda online sin ninguna imagen subida….
Como hemos comentado, los chicos de Wordfence no han detectado ningún ataque de este tipo, pero es imprescindible actualizar el plugin WooCommerce Checkout Manager lo antes posible.
Hoy en día, WordPress y por lo tanto WooCommerce, se encuentra en punto de mira de los atacantes.
Esto no es así porque sea una plataforma insegura, si no porque es la plataforma más usada… cuantos más peces en el mar…
Por este motivo es importante contratar un hosting WooCommerce que nos garantice la seguridad que necesitamos para nuestra tienda online.
Como puedes imaginar, no podemos controlar si un plugin es hackeado o tiene un problema de seguridad, no lo pueden controlar ni los propios desarrolladores, pero si podemos añadir una capa de seguridad extra en tu hosting.
Nuestro sistema escanea tu hosting en busca de malware instalado, como el antivirus de tu ordenador y en caso de detectarlo, lo aísla y te avisa para que puedas poner las cosas en orden lo antes posible.
Además todos los planes de alojamiento web WooCommerce cuentan con soporte especializado, un panel de control cPanel y certificados SSL gratuitos, entre otras muchas opciones: