Blog

Directo número 3 del día 03/03/2021 – Con Emilio Márquez

¿De qué hemos hablado en este directo?

  • Presentación de nuestro invitado: Emilio Márquez.
    • Inicios y trayectoria profesional.
    • Business Angels. ¿Qué son? ¿Cuando buscar uno?
    • Marketing, marca personal, redes sociales…
  • Presentación de proyectos de 3 participantes del directo.
    • Presenta tu proyecto en 3 minutos máximo.
    • Emilio valorará desde el punto de vista de un Business Angel.
    • Se hablará sobre oportunidades y amenazas del proyecto.

Podéis escuchar el directo desde YouTube:

También desde iVOOX:

O desde Spotify:

Por último recuerda, que si quieres estar en los directos, te puedes unir a nuestro canal de Telegram: https://t.me/aquihaydominios

Vulnerabilidad en el plugin Testimonial Rotator. Sin corrección.

Testimonial Rotator es un plugin usado por más de 500.000 usuarios de WordPress, y que han retirado hace poco del repositorio de plugins. Hasta aquí todo normal, es algo que ocurre frecuentemente cuando los desarrolladores dejan de mantener los plugins por los motivos que sean. Por otro lado, hace 9 meses que no tenían actualizaciones y lo especial en este caso es que ahora se ha descubierto una vulnerabilidad grave de seguridad. Por lo que un plugin con vulnerabilidad y no  mantenido por los desarrolladores, significa que no será corregida por lo que si tienes ese plugin, debes desinstalarlo, eliminarlo cuanto antes y buscar alguna alternativa.

La vulnerabilidad detectada, permite inyectar código JavaScript o HTML a usuarios con pocos privilegios, por ejemplo con un perfil tipo Colaborador. Esto podría ser incluso aprovechado para conseguir una escalada de privilegios.

Si tienes nuestros Servicios Avanzados y nos has pedido que nos encarguemos de tus actualizaciones, no tienes de qué preocuparte, nos encargaremos de todo (o ya nos hemos encargado).

Puedes ver como de fácil es aprovechar la vulnerabilidad en el siguiente vídeo, donde se ve como un Contribuidor inyecta código JavaScript que se le ejecuta a un admin cuando entra en la sección de crear testimonios.

Directo número 2 del día 24/02/2021

¿De qué hemos hablado en este directo?

  • Tendremos una nueva sección de entrevistas.
    La semana que viene nos acompaña Emilio Márquez
  • Configuración de transportes y de impuestos.
  • SEO: Core web vitals.

Sentimos que por cuestiones técnicas se perdiera parte de la grabación del directo, unos 30 minutos en total. El resto pudo recuperarse y aunque no se escucha del todo bien, esperamos que os guste. Igualmente animamos a que estés en los directos. Recuerda que sí aún no estás, puedes hacerlo uniéndote a nuestro canal de Telegram: https://t.me/aquihaydominios

Podéis escuchar el directo desde YouTube:

También desde iVOOX:

O desde Spotify:

Vulnerabilidad en el plugin Post SMTP Mailer/Email Log corregida en la versión 2.0.21

Post SMTP Mailer/Email Log es un plugin para que tu web envíe correos por SMTP con más de 200.000 descargas a día de hoy.

Un error en la programación, hacía que un atacante pudiera saltarse una comprobación de seguridad (CSRF) y exportar correos en CSV sin ninguna protección.

El día 26 de febrero se darán más detalles de como se podía explotar esta vulnerabilidad. Por lo que es muy importante que si usas este plugin lo actualices antes de esa fecha.

Esta vulnerabilidad fue corregida en la versión 2.0.21 del plugin, por lo que te recomendamos como siempre tener tanto este como otros plugins siempre actualizados.

Si tienes nuestros Servicios Avanzados y nos has pedido que nos encarguemos de tus actualizaciones, no tienes de qué preocuparte, nos encargaremos de todo (o ya nos hemos encargado).

Si programas o entiendes de código y quieres ver cómo se ha resuelto el agujero de seguridad, lo puedes ver aquí: Corrección del bug de Post SMTP Mailer/Email Log

Directo número 1 del día 17/02/2021

¿De qué hemos hablado en este primer directo?

  • ¿Por qué hacemos los directos con Telegram?
    – ¿Cómo usa “Aquí hay dominios” Telegram en su día a día?
    – ¿Cómo nos ha ayudado a mejorar nuestra productividad?
  • WordPress con Woocommerce vs PrestaShop.
    – ¿Alguien usa otro CMS para tiendas?
  • Nueva herramienta para saber tu posición en Google.
    – ¿Ayuda una IP dedicada a mejorar el posicionamiento?

Sorteamos 1 año de IP dedicada gratis para los participantes en el directo que tengan hosting o vps con nosotros.

La ganadora de la IP dedicada ha sido Kexia. La ganadora puede contactar con nosotros para saber cómo proceder.

Podéis escuchar el directo desde YouTube:

También desde iVOOX:

O desde Spotify:

Vulnerabilidad en el plugin Contact Form 7 Database Addon corregida en la versión 1.2.5.4

Contact Form 7 es uno de los plugins más usados para crear formularios de contacto. Y como todo lo más usado, es también susceptible a recibir más ataques de malwares. En este caso se ha detectado una vulnerabilidad grave no en dicho plugin, sino en uno de sus Addons: Contact Form 7 Database Addon.

Dicha vulnerabilidad permitía SQL Injection a ciertos usuarios cuando hacían acciones masivas de borrar o marcar como leído o no leído.

Esta vulnerabilidad fue corregida en la versión 1.2.5.4 del plugin, por lo que te recomendamos como siempre tener tanto este como otros plugins siempre actualizados.

Si tienes nuestros Servicios Avanzados y nos has pedido que nos encarguemos de tus actualizaciones, no tienes de qué preocuparte, nos encargaremos de todo (o ya nos hemos encargado).

Si programas o entiendes de código y quieres ver cómo se ha resuelto el agujero de seguridad, lo puedes ver aquí: Corrección del bug de Contact Form 7 Database Addon

Vulnerabilidad en el plugin Stripe Payments corregida en la versión 2.0.41

Stripe se ha convertido hoy en día en un método de pago muy usado para pagar con tarjeta en tiendas online hechas con Woocommerce. Aunque hay varios plugins para añadir esta forma de pago a tu tienda, entre los más usados (aunque no el más usado) se encuentra el plugin Stripe Payments del cual hablamos en este post por haberse encontrado una vulnerabilidad

Dicha vulnerabilidad permitía inyectar código en las secuencias de pago, de modo que los atacantes podían enviar dinero a otros sitios en lugar de a la tienda donde el usuario estaba comprando.

Esta vulnerabilidad fue corregida en la versión 2.0.41 del módulo, por lo que te recomendamos como siempre tener tanto este como otros plugins siempre actualizados.

Si tienes nuestros Servicios Avanzados y nos has pedido que nos encarguemos de tus actualizaciones, no tienes de qué preocuparte, nos encargaremos de todo (o ya nos hemos encargado).

Si programas o entiendes de código y quieres ver cómo se ha resuelto el agujero de seguridad, lo puedes ver aquí: Corrección del bug de Stripe Payments

Un cliente no puede pagar con tarjeta en mi tienda online. Llegó la PSD2

Si tienes una tienda online y desde el 1 de enero de 2021 algún cliente te ha dicho que no puede pagar con tarjeta en tu web, quizás ya te has topado con la nueva PSD2. En este post te resumimos qué ocurre con esta nueva normativa en la Unión Europea.

Hay 2 cosas que cambian desde el 1 de enero de 2021 con respecto a los pagos online:

  • Refuerzo de la seguridad. Ahora como mínimo es obligatorio 2 formas de autenticación al realizar un pago online con tarjeta.
  • Nueva regulación de ventas a granel o por peso, para que el cliente reciba justo lo que paga.

 

En este post, nos centraremos solo en el primer punto, el refuerzo de la seguridad. Si te interesa el segundo punto sobre la venta a granel o por peso, déjanos un comentario en el post y lo explicaremos en otro post.

 

Pues bien, en estos primeros días del año 2021, algunos propietarios de tiendas online nos están comentando que algunos de sus clientes les dicen que no pueden pagar en la tienda. Pero claro, otros clientes sí están pudiendo comprar con normalidad. Entonces ¿Qué ocurre? ¿Hay algún fallo en la web? ¿Hay algún fallo en el TPV online?

Podría ser que sí, pero en la mayoría de estos casos, esos nuevos usuarios, quizás no muy expertos a la hora de comprar online, se están encontrando con la nueva normativa PSD2. Es decir, el TPV online, le está exigiendo una doble autenticación que antes no le exigía. Normalmente, el TPV lo indica claramente, pero en muchas ocasiones los usuarios no leen los textos y simplemente les parece que es un error. Más aún, si en otras ocasiones han comprado con esa misma tarjeta y no han tenido que hacer ninguna verificación adicional.

 

Pasemos ahora a explicar más detenidamente qué es la autenticación reforzada del cliente también llamada autenticación en dos pasos (2FA – Two Factor Autentication)

 

La 2FA no es algo nuevo. Se lleva usando hace mucho tiempo para acceder a algunos servicios online. Por eso, muchos usuarios ya están acostumbrados y no les supone un gran esfuerzo aplicar esta misma medida de seguridad a los pagos online. En resumen la 2FA es aportar al menos 2 elementos que identifiquen inequívocamente a un usuario. Esos elementos pueden ser de conocimiento, posesión, o inherente. Ahora explicamos qué son:

 

  • Elemento de conocimiento: por ejemplo una contraseña, un pin, una frase, etc. No es válido un email, el nombre del usuario o datos de la tarjeta, fechas o CVV.
  • Elemento de posesión: por ejemplo un móvil donde recibir un SMS, un QR o una tarjeta leída por un lector de tarjetas. No es válido una aplicación móvil o una tarjeta de coordenadas.
  • Elemento inherente: por ejemplo escaneo del iris, huella dactilar, geometría de cara, etc. No es válido un patrón de deslizamiento como los que se usan para desbloquear un móvil.

 

En definitiva, ahora para comprar online, debes usar al menos 2 de esos 3 elementos en el proceso de pago. Pero ¿Quién decide cuales? Lo decide el banco o el emisor de la tarjeta. Actualmente el móvil está jugando un papel muy importante en estos nuevos procesos de pago y se convierte en el principal elemento para la doble autenticación.

Con este refuerzo de la seguridad en las compras online, aunque pierdas una tarjeta, incluso aunque pierdas el móvil junto a esta tarjeta, se hace cada vez más difícil el típico fraude de pagos con tarjetas robadas.

 

Quizás te preguntes ¿Afecta esto a Paypal? La respuesta es que sí. Tanto a PayPal como a cualquier otro método de pago online. Puede que incluso hayas notado que ahora PayPal pide siempre algún método de autenticación adicional para acceder. Todo esto es también por la PSD2.

Quizás también te preguntes ¿Hay excepciones en la PSD2? También la respuesta es que sí. Estas son las excepciones por las cuales no se pedirá la doble autenticación en un pago online:

  • Pagos de menos de 30€. A tener en cuenta que cada 5 pagos se nos volverá a pedir la doble autenticación.
  • Suscripciones de importe fijo. Por ejemplo contratar un alojamiento web, un dominio, servidores… en casos donde el pago sea recurrente, ya sea mensual, anual… solo se pedirá doble autenticación en el primer pago.
  • Entidades de confianza. Se podrá establecer una lista de empresas donde no se requiera doble autenticación en futuras compras. ¿Podría ser esto un agujero de seguridad? No lo sabemos, pero lo veremos en próximos meses. También veremos cómo se administra estas listas blancas y que tan fácil o no es añadir una empresa en dichas listas.

 

En resumen y para terminar, si uno de tus clientes tiene dificultades para pagar online en tu tienda, asegúrate que está al tanto de todo esto. Y si no es así, recomiéndale este post.

Si aún así, tienes algún error en el TPV y quieres que lo revisemos, consulta por nuestros Servicios Avanzados.

Vulnerabilidad en el plugin Easy WP SMTP corregida en la versión 1.4.3

Hoy en día es muy común que el envío de correos de una web sea a través de SMTP y no por PHP mail que es mucho más probable que el correo llegue a spam. Es por esto que muchos usuarios de WordPress usan plugins como Easy WP SMTP que es usado activamente por más de 500.000 webs.

Recientemente se ha descubierto una vulnerabilidad en dicho plugin que permite a un atacante obtener acceso administrador pudiendo resetear la clave de un administrador ya existente.

Esta vulnerabilidad se ha corregido en la versión 1.4.3  del plugin Easy WP SMTP. Por lo que si lo usas te recomendamos que lo actualices cuanto antes. Después de actualizar no está de más que pruebes que todo sigue funcionando correctamente.

Si tienes nuestros Servicios Avanzados y nos has pedido que nos encarguemos de tus actualizaciones, no tienes de qué preocuparte, nos encargaremos de todo (o ya nos hemos encargado).

Si quieres ver los detalles del bug de Easy WP SMTP y lo fácil que es explotar dicha vulnerabilidad lo puedes ver desde aquí: Detalles del bug de Easy WP SMTP

Si programas o entiendes de código y quieres ver cómo se ha resuelto muy fácilmente, lo puedes ver aquí: Corrección del bug de Easy WP SMTP

Y si quieres ver cómo ha sido el proceso del soporte técnico que detectó el bug hasta su corrección, lo puedes ver aquí: Problema de seguridad con el registro de depuración

Vulnerabilidad en WooCommerce corregida en la versión 4.6.2

Si usas WooCommerce para tener tu tienda online en WordPress, hace pocos días se ha descubierto una vulnerabilidad que permite a los atacantes crear cuentas en tu WordPress aunque tengas la opción de crear cuentas desactivadas. Esto lo están aprovechando los bots para crear pedidos spam que podrían ocasionar algo más que molestias en la gestión de tu tienda online.

Si tienes una versión inferior a la 4.6.2 de WooCommerce, te recomendamos actualizarla cuanto antes.

Si tienes nuestros Servicios Avanzados y nos has pedido que nos encarguemos de tus actualizaciones, no tienes de qué preocuparte, nos encargaremos de todo (o ya nos hemos encargado).

Si quieres los detalles oficiales del bug de Woocommerce los puedes ver aquí: Detalles del bug Woocommerce

Si programas o entiendes de código y quieres ver cómo se ha resuelto, lo puedes ver aquí: Fixed order account creation