Los agujeros de seguridad en los complementos de WordPress que podrían permitir que otras personas hurguen en su sitio de WordPress siempre son malas noticias.
Incluso si todo lo que está ejecutando es una configuración básica que no tiene cuentas de clientes y no recopila ni procesa ninguna información personal, como nombres y direcciones de correo electrónico...
…ya es bastante preocupante saber que alguien más podría estar jugando con su contenido, promoviendo enlaces no autorizados o publicando noticias falsas bajo su nombre.
Pero los agujeros de seguridad en los complementos que utiliza para respaldar los pagos en línea en su sitio son otro nivel de preocupación.
Desafortunadamente, la popular plataforma de pagos electrónicos WooCommerce acaba de usuarios notificados como sigue:
El 2023 de marzo de 03, se descubrió una vulnerabilidad en WooCommerce Payments que, de explotarse, podría permitir el acceso de administradores no autorizados a las tiendas afectadas. Inmediatamente desactivamos los servicios afectados y mitigamos el problema para todos los sitios web alojados en WordPress.com, Pressable y [WordPress VIP].
Afortunadamente, parece que el error se encontró como parte de una prueba de penetración autorizada oficialmente y realizada por un investigador de seguridad suizo, y WooCommerce parece estar seguro de que nadie más había descubierto la falla antes de que ellos mismos la descubrieran:
Tan pronto como se informó la vulnerabilidad, comenzamos una investigación para determinar si se había expuesto algún dato o si se había explotado la vulnerabilidad. Actualmente no tenemos evidencia de que la vulnerabilidad se esté utilizando fuera de nuestro propio programa de pruebas de seguridad. Enviamos una solución y trabajamos con el equipo de complementos de WordPress.org para actualizar automáticamente los sitios que ejecutan WooCommerce Payments 4.8.0 a 5.6.1 a versiones parcheadas. Actualmente, la actualización se está implementando automáticamente en tantas tiendas como sea posible.
¿Cambiar contraseñas o no cambiar?
Curiosamente, WooCommerce sugiere que incluso si los atacantes hubieran encontrado y explotado esta vulnerabilidad, la única información sobre sus contraseñas de inicio de sesión que habrían podido robar habría sido la llamada hashes de contraseña salados, por lo que la empresa ha escrito que "es poco probable que su contraseña haya sido comprometida".
Como resultado, ofrece el curioso consejo de que puede salirse con la suya sin cambiar su contraseña de administrador, siempre y cuando [a] esté utilizando el sistema estándar de administración de contraseñas de WordPress y no una forma alternativa de manejar contraseñas que WooCommerce no puede garantizar. , y [b] no tiene la costumbre de usar la misma contraseña en varios servicios.
Perdónanos por preguntar, pero tú no comparta contraseñas entre ningún sitio, y mucho menos compartir la contraseña de la cuenta de administrador con su sistema de comercio electrónico, ¿verdad?
Sin embargo, la compañía le insta a que “Cambiar[e] cualquier dato privado o secreto almacenado en su base de datos de WordPress/WooCommerce”, en particular, incluidos datos como tokens de autenticación, cookies de sesión o claves API: los nombres de jerga dados a lo que son esencialmente contraseñas temporales que su navegador (u otro software) puede agregar a futuras solicitudes web para obtener acceso inmediato.
Estas "contraseñas de tiempo parcial" están ahí para permitir que el servidor deduzca que pasó por un proceso de inicio de sesión completo lo suficientemente reciente como para que usted y sus aplicaciones preautorizadas sean confiables, sin obligarlo a compartir su contraseña principal real con cada uno. aplicación o pestaña del navegador que realizará solicitudes programáticas en su nombre.
Debido a que generalmente necesita copiar y pegar tokens de autenticación en otras aplicaciones para que puedan usarlos sin tener que escribirlos cada vez, generalmente se almacenan en forma de texto sin formato, no en forma de salt y hash como su contraseña principal.
En pocas palabras, aunque los delincuentes con acceso de nivel de administrador a su cuenta no pueden recuperar el texto real de su contraseña principal, normalmente pueden (y lo harán, si tienen la oportunidad de hacerlo), obtener el texto sin formato de cualquier autenticación. tokens que ha creado para su cuenta.
El proceso de "token de autenticación" es un poco como tener que mostrar una identificación con foto completa para pasar la recepción en un edificio de oficinas, después de lo cual se le otorga una tarjeta de acceso que le permitirá deslizar hacia adentro y hacia afuera tanto como desee. y moverse dentro del edificio, aunque solo por un tiempo limitado.
Si alguien roba su identificación con fotografía, no le servirá de mucho a menos que se parezca a usted, porque los detalles se examinarán cuidadosamente cuando la presenten.
Pero si se apoderan de su tarjeta de acceso mientras está dentro del edificio, pueden escabullirse al amparo de ser usted, porque la dificultad comparativa de adquirir la tarjeta de acceso en primer lugar significa que se supone que es una forma confiable. de identificarle, al menos temporalmente.
¿Qué hacer?
- Compruebe que tiene una versión parcheada del complemento de WordPress WooCommerce Payments. La compañía afirma que los sitios alojados por WordPress, Pressable y WordPress VIP ya deberían haberse actualizado, pero recomendamos verificar de todos modos. Las instrucciones sobre cómo verificar (y cómo parchear si es necesario) se pueden encontrar en WooCommerce blog de desarrollador. Cada una de las nueve (!) versiones de productos con soporte oficial de la empresa, desde la 4.8.xa la 5.6.x, tiene su propia actualización.
- Haga que todos los administradores de su sitio cambien sus contraseñas. WooCommerce sugiere que debería estar bien incluso si no cambia su contraseña, porque los atacantes primero tendrían que descifrar cualquier hash de contraseña robado. Pero, en primer lugar, no se suponía que los hashes de su contraseña estuvieran en riesgo de exposición, por lo que cambiarlos ahora es una precaución sensata. Recuerde que los ciberdelincuentes no tienen que descifrar los hashes robados de inmediato. Solo tienen que descifrar uno o más de ellos antes de invalidar esos hashes cambiando las contraseñas a partir de las cuales se calcularon.
- Cancele todas las claves API actuales de Payment Gateway y WooCommerce. Genera nuevas claves, como se explica en WooCoomerce's documentación, de modo que cualquier dato de autenticación comprometido sea inútil para los delincuentes que puedan haberlo adquirido.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/03/24/woocommerce-payments-plugin-for-wordpress-has-an-admin-level-hole-patch-now/
