Por qué WordPress Premium-Themes es un riesgo para la seguridad

Jan Hornung Última actualización 23.01.2020
5 min.
N02 PremiumThemes

La práctica habitual de integrar Plugins en Premium Themes puede exponer a tu WordPress -sitio a un importante riesgo de seguridad. Sin embargo, el problema apenas puede evitarse en la actualidad: se pide al usuario.

En 2014 y 2015 se descubrieron vulnerabilidades de seguridad masivas en dos de los Plugins más populares de la historia: tanto Slider Revolution [1] (vendido casi 75.000 veces en Envato ), como el Visual Composer [2] (vendido casi 100.000 veces en Envato) se vieron afectados. Sin embargo, las vulnerabilidades en sí no eran el principal problema. Los desarrolladores reaccionaron rápidamente y proporcionaron las actualizaciones adecuadas. Pero para algunos clientes de Premium Themes, que utilizan los dos Plugins como parte de los llamados paquetes Plugin, es decir, constelaciones de plugins integradas por defecto en el Themes , esta medida era inútil. Durante mucho tiempo, han tenido que pasar por encima de estas lagunas de seguridad. Porque no todos los Themes permiten una actualización automática en todos los casos.

Doble dependencia de los usuarios

Los usuarios de Premium Themes dependen de dos partes para las actualizaciones de plugins relevantes para la seguridad: el Plugin- y los fabricantes de temas. Así, puede ocurrir que el fabricante del plugin reaccione rápidamente y cierre la brecha de seguridad, pero el Theme no aplique automáticamente estos cambios. Esto se debe a que las actualizaciones de los plugins no siempre son fácilmente compatibles con el resto de un Themes . Por lo general, primero hay que probar la interacción de la prima Themes con la nueva versión del plugin. La velocidad de reacción de los fabricantes de temas es, por tanto, el componente crítico en el proceso de actualización y determina el tiempo que los usuarios tienen que vivir con las brechas de seguridad[3].

Pero: los paquetes también son problemáticos para los propios proveedores

En la práctica, esta responsabilidad es también una carga para los fabricantes de temas. Por un lado, tienen que informar a sus clientes sobre la brecha de seguridad y su importancia. En el caso de Visual Composer, el proveedor del mercado Envato y el fabricante de plugins wpbackery reaccionaron de manera ejemplar: Se contactó con todos los clientes por correo y se les recomendó que actualizaran por su cuenta y riesgo[4]. Por otro lado, el fabricante tiene que probar espontáneamente la compatibilidad de la Premium Themes con la nueva versión del plugin, posiblemente establecerla primero o incluso desarrollar una solución provisional y ponerla a disposición de los clientes.

Por lo tanto, la vinculación de estos paquetes de plugins causa problemas a los proveedores y a los clientes. Sin embargo, dado que el principio del paquete tiene muchas ventajas, como la rápida integración de complicadas funciones adicionales y el cómodo manejo para el cliente, es probable que el problema persista durante algún tiempo. Por lo tanto, es importante que los operadores de las obras sean conscientes de este peligro y sepan cómo afrontarlo.

A pesar de la reacción ejemplar: la acción reactiva de los fabricantes no resuelve el problema

Aunque Envato y wpbakery reaccionaron rápidamente en el caso de Visual Composer, el caso sigue mostrando los límites de la estrategia reactiva y deja claro que la práctica existente acepta activamente las vulnerabilidades de seguridad. El comportamiento reactivo de los fabricantes de temas y los proveedores de mercados -por muy bien coordinados que estén- no proporciona necesariamente un alto nivel de seguridad y funcionalidad. Esto se debe a que los correos electrónicos pueden acabar en los filtros de spam, las publicaciones en las redes sociales pueden pasarse por alto y los mensajes en las aplicaciones pueden perderse. Por lo tanto, es un riesgo innecesario para los operadores del sitio tener un Plugin inseguro en funcionamiento durante un período de tiempo más largo.

Sin embargo, el enfoque reactivo de los fabricantes alberga un segundo peligro. A saber, si el operador del sitio no es el concesionario de la prima Themes . Se trata de una constelación bastante común, por ejemplo en el caso de los trabajos por encargo de los diseñadores web. Si el diseñador de la web y el propietario del sitio no están en contacto, puede ocurrir incluso que los afectados no se enteren de la vulnerabilidad de seguridad. Esta práctica produce masas de sitios web cuyos propietarios y administradores no tienen acceso a las actualizaciones internas de theme. Por lo tanto, incluso los sitios mantenidos profesionalmente pueden utilizar un Plugins anticuado y vulnerable.

Por lo tanto, un enfoque reactivo por parte de los fabricantes de temas y proveedores de mercados ignora una parte importante de la realidad del diseño web.

El enfoque proactivo es caro

Ahora se plantea la cuestión de por qué el paquete Plugin no se actualiza siempre automáticamente. La respuesta está en la complejidad de la prima Themes. Los desarrolladores diseñan Themes con amplias funciones adicionales, como interfaces de edición visual, deslizadores, campos de formulario, etc. Hasta que la prima Theme esté montada y funcione sin problemas, hay que completar decenas de series de pruebas. Lo mismo ocurre con las actualizaciones de la página web Plugins instalada: cada nueva versión puede poner en peligro la funcionalidad general de Themes y, en el peor de los casos, hacer que todo el sitio web sea inutilizable. Para los proveedores de comercio electrónico en particular, un tiempo de inactividad de este tipo puede significar enormes pérdidas monetarias y un daño duradero a su imagen.

Por lo tanto, las pruebas de compatibilidad consumen mucho tiempo y dinero, lo que priva a los desarrolladores de temas del incentivo de ser proactivos y explica su comportamiento a veces reactivo. Como señala el bloguero escocés Kevin Muldoon, los mercados tampoco fomentan las pruebas de actualización periódicas y aleatorias. Por ejemplo, los proveedores pueden trabajar con programas de fideicomiso, dice Muldoon. Al final, depende de cada proveedor de temas decidir qué estrategia de actualización seguir. Y, por supuesto, no hay que olvidar que existe la prima Themes cuyo soporte ha sido completamente interrumpido.

Posibles soluciones: Actualizaciones premium también para los usuarios y nuevas normas de calidad

En su artículo del blog, Muldoon sugiere una opción de actualización opcional para theme-internal Plugins en el propio WordPress . El usuario podría entonces actualizar el respectivo Plugin a la última versión directamente después de la publicación de la actualización, pero también asume la responsabilidad de las posibles incompatibilidades con el Theme seleccionado. La introducción de la clave de licencia sólo sería necesaria al activar Plugins , las actualizaciones también podrían realizarse sin licencia. El usuario también sería informado de las actualizaciones nuevas y especialmente importantes directamente en WordPress . Se eliminaría así el paso intermedio a través de los fabricantes de temas o los mercados, que primero tienen que informar a sus clientes.

Los programas de incentivos mencionados por Muldoon también podrían ser una solución si establecen la política de actualización proactiva de los fabricantes de temas como un nuevo y destacado aspecto de seguridad. De este modo, las pruebas de compatibilidad periódicas podrían convertirse en un criterio de calidad completamente nuevo de la página web de pago Themes .

Conclusión: El usuario está en la demanda

En cualquier caso, este problema es competencia del usuario: hay que ser consciente de que el paquetePlugins puede representar un problema de seguridad y encontrar una posible solución. Por ejemplo, el propietario de un sitio web puede comprar él mismo las licencias de la correspondiente Themes o confiar en una hoster que realice las correspondientes actualizaciones [5].

Incluso a la hora de seleccionar la propia prima Themes , se pueden tener en cuenta algunos aspectos de seguridad importantes. Si conoce la política de actualización del fabricante del tema y el Plugins utilizado, normalmente ya puede dar una estimación sólida de la vulnerabilidad del problema del Themes .

También en este caso no existe una certeza del 100%. Sin embargo, el riesgo puede reducirse significativamente con una selección consciente.

Esta situación muestra muy bien cómo se relacionan las ventajas y desventajas de la estructura modular de WordPress . Dado que esta área de problemas es amplia y diversa, esperamos tu aportación: ¿Has tenido alguna vez problemas con Premium Themes, actualizaciones de plugins o similares? Háganoslo saber y ayude a la comunidad a estar mejor preparada en caso de emergencia.

Enlaces

1]: Explicación de las vulnerabilidades de seguridad de Plugin Slider Revolution: https://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

2]: Explicación de las vulnerabilidades de seguridad en Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

3]: Esto también lo destacan proveedores como Envato en sus notas para clientes sobre las correspondientes vulnerabilidades de seguridad: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494.

4]: El bloguero escocés Kevin Muldoon ha escrito un artículo detallado sobre este problema y ha comentado el enfoque de Envato, además de pedir una función de actualización automática para el bundle-Plugins : http://www.kevinmuldoon.com/packaged-wordpress-plugins-automatic-updates/.

5]: Especialmente si los diseñadores web trabajan en estrecha colaboración con los respectivos hosters, es decir, si tienen la información necesaria para las actualizaciones de los plugins, se puede establecer un proceso de actualización eficaz y rápido.

RAIDBOXER desde el inicio y Jefe de Apoyo. En el bar y WordCamps le gusta hablar de PageSpeed y del rendimiento de los sitios web. La mejor manera de sobornarlo es con un expreso o un pretzel bávaro.

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.