N02 PremiumThemes

Por qué los temas premium de WordPress son un riesgo para la seguridad

La práctica habitual de integrar plugins en temas premium puede exponer a tu WordPress-sitio a un gran riesgo de seguridad. Sin embargo, el problema apenas puede evitarse en la actualidad: depende del usuario.

En 2014 y 2015, se descubrieron vulnerabilidades de seguridad masivas en dos de los plugins más populares de la historia: tanto Slider Revolution [1] (vendido casi 75.000 veces en Envato ) como Visual Composer [2] (vendido casi 100.000 veces en Envato) se vieron afectados. Sin embargo, las vulnerabilidades de seguridad en sí mismas no eran el problema principal. Los desarrolladores reaccionaron rápidamente y proporcionaron las actualizaciones adecuadas. Pero para algunos clientes de Temas Premium que utilizan los dos complementos como parte de los llamados paquetes de complementos, es decir, constelaciones de complementos integrados en los temas por defecto, esta medida era inútil. Durante mucho tiempo, han tenido que pasar por la red con estas lagunas de seguridad. Esto se debe a que no todos los temas permiten las actualizaciones automáticas en todos los casos.

Doble dependencia de los usuarios

Los usuarios de los temas premium dependen de dos partes para las actualizaciones de los complementos relevantes para la seguridad: los fabricantes de los complementos y los fabricantes de los temas. Puede ocurrir que el fabricante del plug-in reaccione rápidamente y cierre la brecha de seguridad, pero el tema no aplica automáticamente estos cambios. Esto se debe a que las actualizaciones de los plugins no siempre son fácilmente compatibles con el resto de un tema. Por lo general, primero hay que probar la interacción del tema premium con la nueva versión del plugin. Por tanto, la velocidad de reacción de los fabricantes de temas es el componente crítico en el proceso de actualización y determina el tiempo que los usuarios tienen que vivir con las brechas de seguridad[3].

Pero: los paquetes también son problemáticos para los propios proveedores

En la práctica, esta responsabilidad es también una carga para los fabricantes de temas. Por un lado, tienen que informar a sus clientes sobre la brecha de seguridad y su importancia. En el caso de Visual Composer, el proveedor del mercado Envato y el fabricante de plugins wpbackery reaccionaron de forma ejemplar: Se contactó con todos los clientes por correo electrónico y se les recomendó que actualizaran por su cuenta y riesgo[4]. Por otro lado, el fabricante debe probar espontáneamente la compatibilidad del tema premium con la nueva versión del plugin, posiblemente establecerla primero o incluso desarrollar una solución provisional y ponerla a disposición de los clientes.

Por lo tanto, la vinculación de estos paquetes de enchufes causa problemas a los proveedores y a los clientes. Sin embargo, dado que el principio del paquete tiene muchas ventajas, como la rápida integración de complicadas funciones adicionales y el cómodo manejo para el cliente, es probable que el problema persista durante algún tiempo. Por tanto, es importante que los operarios de las obras sean conscientes de este peligro y sepan cómo afrontarlo.

A pesar de la reacción ejemplar: la acción reactiva de los fabricantes no resuelve el problema

Aunque Envato y wpbakery reaccionaron rápidamente en el caso de Visual Composer, el caso muestra, sin embargo, los límites de la estrategia reactiva y deja claro que la práctica existente acepta activamente las vulnerabilidades de seguridad. El comportamiento reactivo de los fabricantes de temas y los proveedores del mercado -por muy bien coordinados que estén- no proporciona necesariamente un alto nivel de seguridad y funcionalidad. Esto se debe a que los correos electrónicos pueden acabar en los filtros de spam, las publicaciones en las redes sociales pueden pasarse por alto y los mensajes en las aplicaciones pueden perderse. Así, los operadores de los sitios corren un riesgo innecesario de tener un plugin inseguro en funcionamiento durante un periodo de tiempo más largo.

Sin embargo, el enfoque reactivo de los fabricantes alberga un segundo peligro. Esto ocurre cuando el operador del sitio no es el titular de la licencia del tema premium. Se trata de una constelación bastante común, por ejemplo en el caso de los trabajos por encargo de los diseñadores web. Si los diseñadores web y los propietarios de los sitios no están en contacto, puede ocurrir incluso que los afectados no se enteren de la brecha de seguridad. Esta práctica produce masas de sitios web cuyos propietarios y administradores no tienen acceso a las actualizaciones internas de los temas. Por lo tanto, incluso los sitios mantenidos profesionalmente pueden utilizar plug-ins anticuados y vulnerables.

Un enfoque reactivo por parte de los fabricantes de temas y los proveedores del mercado ignora así una parte importante de la realidad del diseño web.

El enfoque proactivo es caro

Ahora se plantea la cuestión de por qué los paquetes de plug-ins no se actualizan siempre automáticamente. La respuesta está en la complejidad de los temas premium. Los desarrolladores diseñan temas con amplias funciones adicionales, como interfaces de edición visual, deslizadores, campos de formulario, etc. Hasta que el tema premium esté montado y funcione sin problemas, hay que completar decenas de series de pruebas. Lo mismo ocurre con las actualizaciones de los plug-ins incorporados: cada nueva versión puede poner en peligro la funcionalidad general del tema y, en el peor de los casos, inutilizar todo el sitio web. Para los proveedores de comercio electrónico en particular, un tiempo de inactividad de este tipo puede significar enormes pérdidas monetarias y un daño duradero a su imagen.

Por tanto, las pruebas de compatibilidad consumen mucho tiempo y dinero, lo que priva a los desarrolladores de temas del incentivo de ser proactivos y explica su comportamiento, a veces reactivo. Como señala el bloguero escocés Kevin Muldoon, los mercados tampoco fomentan las pruebas de actualización periódicas y aleatorias. Por ejemplo, los proveedores podrían trabajar con programas de confianza, dice Muldoon. En última instancia, corresponde a cada productor de temas decidir qué estrategia de actualización seguir. Y, por supuesto, no hay que olvidar que existen temas premium cuyo soporte se ha interrumpido por completo.

Posibles soluciones: Actualizaciones premium también para los usuarios y nuevas normas de calidad

En el artículo de su blog, Muldoon propone una opción de actualización opcional para los plugins de temática interna en el propio WordPress. El usuario podría entonces actualizar el plugin respectivo a la última versión directamente después de que aparezca la actualización, pero también asume la responsabilidad de las posibles incompatibilidades con el tema seleccionado. La introducción de la clave de licencia sólo sería necesaria al activar el plug-in; las actualizaciones también podrían hacerse sin licencia. El usuario también sería informado de las actualizaciones nuevas y especialmente importantes directamente en WordPress. Así se eliminaría el paso intermedio a través de los fabricantes de temas o los mercados, que primero tienen que informar a sus clientes.

Los programas de incentivos mencionados por Muldoon también podrían ser una solución si establecen la política de actualización proactiva de los fabricantes de temas como un nuevo y destacado aspecto de seguridad. De este modo, las pruebas de compatibilidad periódicas podrían convertirse en un criterio de calidad completamente nuevo para los temas de pago.

Conclusión: El usuario está en la demanda

En cualquier caso, sin embargo, el usuario está llamado a enfrentarse a este problema: hay que ser consciente de que los plug-ins del paquete pueden suponer un problema de seguridad y encontrar una posible solución. Por ejemplo, el propietario de un sitio web puede comprar él mismo las licencias de los temas correspondientes o confiar en un hoster que realice las actualizaciones correspondientes [5].

Incluso a la hora de elegir el tema premium en sí, se pueden tener en cuenta algunos aspectos importantes de seguridad. Si conoces la política de actualización del fabricante del tema y los plug-ins utilizados, normalmente ya puedes dar una estimación sólida de la vulnerabilidad del tema a los problemas.

En este caso, tampoco existe una certeza del 100%. Sin embargo, el riesgo puede reducirse significativamente con una selección consciente.

Esta situación muestra muy bien cómo se relacionan las ventajas y los inconvenientes de la estructura modular de WordPress. Dado que esta área de problemas es amplia y variada, esperamos tu aportación en este punto: ¿Has tenido alguna vez problemas con temas premium, actualizaciones de plugins o similares? Avísanos y ayuda a la comunidad a estar mejor preparada para las emergencias.

Enlaces

[1]: Explicación de las vulnerabilidades de seguridad del plugin Slider Revolution: https://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

[2]: Explicación de las vulnerabilidades de seguridad del plugin Visual Composer: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[3]: Esto también lo destacan proveedores como Envato en sus avisos a los clientes sobre las correspondientes vulnerabilidades de seguridad: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[4]: El bloguero escocés Kevin Muldoon ha escrito un artículo detallado sobre esta cuestión, en el que comenta el enfoque de Envato y pide una función de actualización automática para los plugins de los paquetes: http://www.kevinmuldoon.com/packaged-wordpress-plugins-automatic-updates/

[5]: Especialmente si los diseñadores web colaboran estrechamente con los respectivos hosters, es decir, tienen la información necesaria para las actualizaciones de los plugins, se puede establecer un proceso de actualización eficaz y rápido.

¿Te ha gustado el artículo?

Con tu valoración nos ayudas a mejorar aún más nuestro contenido.

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.