Revisando el otro día la noticia sobre los 4 millones de webs vulnerables que anunció Wordfence caí sin darme cuenta en algo que no sé si es política comercial habitual, algo puntual, o qué.
No te lo cuento, te lo muestro…
La captura anterior es la secuencia temporal del caso de la vulnerabilidad que detectaron en el plugin Really Simple Security, en la que he resaltado las que afectan a la duda que me surgió, y te traduzco:
- 6 de noviembre de 2024 – El equipo de inteligencia ante amenazas de Wordfence descubrió la vulnerabilidad de bypass de identificación en el plugin Really Simple Security.
- 6 de noviembre de 2024 – Los usuarios de Wordfence Premium, Care y Response recibieron una regla de cortafuegos que ofrece protección contra cualquier exploit que pueda dirigirse a esta vulnerabilidad.
- 6 de diciembre de 2024 – Los usuarios de Wordfence gratis reciben (recibirán) la misma protección.
Resumiendo, resulta que descubren la vulnerabilidad el 6 de noviembre de 2024, y ese mismo día sus clientes del plugin de pago reciben una actualización del cortafuegos que les protege frente a ese tipo de vulnerabilidades, pero esperarán 1 mes entero hasta añadir la protección para sus clientes del plugin gratuito.
¿Es esto habitual? ¿te parece normal?
Entiendo que es por política comercial, o sea, manda el mensaje de que si quieres estar realmente protegido tienes que pasarte a la versión de pago pero como cliente de productos de seguridad, también de Wordfence a través de algunos clientes, me queda un cierto resquemor sobre si realmente me considera cliente una empresa que solo protege realmente a sus clientes de pago.
El otro día debatía algo este asunto en redes sociales y, por supuesto, cada empresa es muy libre de ofrecer las prestaciones que considere a sus distintos niveles de servicio, faltaría más, pero en cuestiones de seguridad creo que es mala política dejar vulnerables a tus clientes de algo que sabes que es un problema de seguridad.
Creo que hay otras maneras de incentivar la compra de licencias de pago de un plugin de seguridad, como prestaciones completas del tipo de bloqueo de países, bloqueo de IPs o rangos de IPs, reglas avanzadas personalizadas y cosas así, en vez de lo que considero protección básica frente a amenazas conocidas, y encima descubiertas por la propia empresa.
Es como una disyuntiva que tuve hace tiempo, al elaborar los planes de mantenimiento web que realizamos.
Veía que la mayoría de las empresas de mantenimiento de webs WordPress ofrecían actualizaciones diarias, semanales o mensuales según el plan contratado, y estuve tentado de configurar igual mis planes de servicio, pero caí en que me parecía ridículo conocer – por ejemplo – una actualización de seguridad de WordPress o un plugin, y no actualizar hasta dentro de una semana o un mes las webs que no tuviesen el plan más completo, por varios motivos, pero fundamentalmente porque considero que el servicio al cliente debe tener claro qué son prioridades y qué se puede considerar como servicio adicional.
No sé, igual me equivoco pero para mi la seguridad siempre debe ser un servicio básico, especialmente si te dedicas a la seguridad, al menos lo que se refiere a la protección ante amenazas.
Además, en el caso de los servicios de mantenimiento me parecía hasta ridículo dejar webs desprotegidas a sabiendas, lo que supone un problema y preocupación adicional para el equipo de mantenimiento.
Pero vamos, es como si una empresa de seguridad basa su nivel de servicio en la respuesta ante intrusiones o ataques:
Te enviamos a la policía inmediatamente si eres cliente Oro y después de 1 hora si eres cliente Plata, la empresa no es responsable de las muertes o robos ocurridos en ese periodo de 1 hora, considerado prestación de servicio comercial.
¿A que no tiene lógica?, ¿o sí?
En este asunto creo tener clara mi opinión, pero igual estoy equivocado del todo ¿tú qué opinas?
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
Reflexión de lo más interesante. Y, si te soy sincero, yo tampoco sabría cómo posicionarme, la verdad. La intuición me dice que hay medidas que deberían aplicarse independientemente del plan que tengas contratado, especialmente si son referentes a seguridad.
Ahora bien, un pequeño apunte: el usuario que no paga NO es un cliente. Puede acabar siéndolo, sí, pero no lo es. ¿Cambia esto tu análisis?
Uf, vaya, sí, cliente = pagador, ¿o cliente = usuario de tu producto? Ahí no lo tengo tan claro eh
Yo suelo marcar la diferencia entre cliente (el que paga) y usuario (que puede o no estar pagando). Pero, como te decía, no sé si esto cambia en algo o no tu análisis
Según tu punto de vista sí 😀
Buen matiz el de David. Sea cliente de pago o usuario gratis yo creo que no debería haber retardo en temas de seguridad tan serios (me parece una mala táctica de máqueting ). Como dice Fernando hay otras opciones para ofrecer funcionalidades premium.
Supongo que de algún lado tienen que sacar dinero, pero me suena a que la versión gratuita está de adorno es muchas instalaciones de WordPress. Es mucho mejor reducir el número de plugins instalados para mejorar la seguridad de WordPress.
Estoy de acuerdo contigo, pero sobre todo es que cada vez hay menos plugins WordPress gratis que sirvan de algo, solo los de siempre, los nuevos son meros ganchos para el premium en su mayoría
Yo estoy utilizando Solid Security (ex Itheme) y en mis sitios web y funciona muy bien.
Wordfence hace rato ya no es lo que era.