Alertas de seguridad en Prestashop

  por    0   1

¿Agujeros de seguridad en Prestashop?

Buenos días a tod@s, hoy os traigo un tema que me ha preocupado bastante en estas últimas semanas, y es la repentina alerta para la actualización de la gran mayoría de los módulos nativos de prestashop.
Antes de empezar dos cosas:
1. Con alerta de actualización me refiero al back-end en la parte de módulos.
2. Cuando digo mayoría me refiero a aproximadamente un 34% de los módulos nativos de prestashop (lo que implica que en un proyecto de prestashop 1.6.1.6 recién descargado e instalado de los 100 módulos que trae prestashop 34 de ellos necesitan actualizar).

Listado de módulos a actualizar:

  • Bloque de Banner
  • Bloque de búsqueda rápida
  • Bloque de carrito
  • Bloque de categorías
  • Bloque de contacto
  • Bloque de divisa
  • Bloque de fabricantes
  • Bloque de información CMS personalizado
  • Bloque de información de contacto
  • Bloque de información de usuario
  • Bloque de logos de pago
  • Bloque de logos de pago
  • Bloque de novedades
  • Bloque de productos vistos
  • Bloque etiquetas
  • Bloque Mi cuenta
  • Bloque Mi cuenta en el pie de página
  • Bloque Más vendidos
  • Bloque navegación por facetas
  • Bloque newsletter
  • Bloque promociones especiales
  • Bloque proveedor
  • Bloque selector de idioma
  • Bloque social
  • Bloque tiendas
  • Cheque
  • Configurador de temas
  • Diapositivas de imágenes para tu página web
  • Menú horizontal superior
  • Productos Destacados en la Página de inicio
  • Redes sociales
  • Transferencia bancaria
  • Cron tasks manager
  • Módulo enviar a un amigo

Y claro, imaginaros la cara de shock cuando de un día para otro saltan todas estas actualizaciones de golpe y porrazo en el gestor eCommerce.  Uno de los agujeros de seguridad que más está dando que hablar en la comunidad Prestashop es el módulo “Enviar a un amigo” (sendtofriend), que permite recomendar productos por email a tus contactos y el mismo ha estado siendo utilizado para el envío masivo de spam, e inutilizando así las webs afectadas.

Nota: A mi me ha llegado uno de esos correos, os pongo una captura, que más que captura parece un documento clasificado de la CIA. 🙂

spam

Pero ahora lo más importante es saber que dicen desde Prestashop sobre la problemática, y la respuesta hasta el momento es: nada, porque salvo que lo hayan publicado en un rincón oscuro y alejado, yo particularmente no he encontrado absolutamente nada en Internet y menos en la página oficial de Prestashop.

De hecho la única información que he tenido, es la de la respuesta en el foro de prestashop por el usuario (Loadinges), y básicamente es más o menos lo de arriba, donde la parte más importante del mensaje es esta “Recientemente han salido varios módulos con fallos de seguridad en algunos módulos que permitían a un usuario externo subir un fichero .php y tener control total de la página web.”

No es un problema menor, por lo que me ha extrañado bastante que desde Prestashop (página oficial), no hayan dicho absolutamente nada. ¿Será que no quieren que la gente lo sepa?.

¿Soluciones?

Pues desgraciadamente como algunos os estaréis imaginando, no va a quedar más remedio que; o bien actualizar los módulos, o bien desactivar, desinstalar y eliminar el módulo para posteriormente buscar otro con la misma funcionalidad, pero más seguro.

De hecho, esta segunda opción es la que recomienda en el foro (Loadinges), para el módulo sendtofriend “No obstante, sería recomendable prescindir de este módulo, ya que por nuestra experiencia lo están usando en las últimas semanas para el envío de SPAM o “correo no deseado”. Introducen un fragmento de texto o publicidad al lado del mensaje de “Un amigo te ha enviado un vínculo a un producto que él piensa que pueden interesarle”.”

Un opción que podríais barajar es la de añadir un captcha al módulo, pero como ya os digo soy partidario de quitarlo de en medio.

Así que así está la cosa, si teneis modificaciones en alguno de los módulos del listado de arriba, nos os va a quedar otra que actualizar y luego volver a editar de nuevo (salvo que useis override, y con suerte no cambien el código en esa parte que tenéis editad).

Quiero reacalcar bien que“No vale solamente con desactivar el módulo”. Hay que desinstalar y eliminar, sino el agujero de seguridad continuará funcionando de manera interna.

¡Tomad medidas lo antes posible, o estaréis en riesgos de que os tumben la web! Como siempre un fuerte abrazo.

Los comentarios están cerrados.


Posts relacionados

Ayudas Transformación Digital eCommerce: Programa Kit Digital 2022


LEER MÁS →

Como parte del impulso hacia la transformación digital de las empresas pymes y la actividad de autónomos/as, que se enmarca en el Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, se ha creado un programa completo llamado Kit Digitalque apuesta por la unión de Agentes Digitalizadores y estas pymes con el fin de […]

5 funcionalidades clave CRM en eCommerce


LEER MÁS →

Son tiempos excitantes para el canal eCommerce; de eso no hay ninguna duda. Cada vez la penetración % de personas conectadas a internet aumenta, los canales en los que podemos ofrecer nuestros productos son numerosos y la confianza con respecto a las compras online está aumentando en estos últimos años. La parte negativa de toda […]

B2B E-commerce: funciones imprescindibles y cómo vender a otras empresas en internet

B2B y sus características en eCommerce


LEER MÁS →

Tendemos a caer en el error de pensar que el comercio electrónico está enfocado a un único tipo de cliente: las personas individuales. Pero, ¿y si te decimos que existe un mundo de oportunidades de negocio con las empresas en el universo del e-commerce? Pues sí, igual que en el mundo offline existen empresas que […]

Test A/B y Google Optimize para optimizar nuestro eCommerce

Test AB en eCommerce


LEER MÁS →

Los propietarios de sitios e-commerce tienen una única obsesión: optimizar sus eCommerce y aumentar el ratio de ventas. En otras palabras, que el porcentaje de personas que realizan una compra con respecto al número de visitantes sea el más alto posible. Conseguir esto depende de varios requisitos que deben cumplirse al mismo tiempo: que la adquisición […]

Las ventajas del Marketing Automation en eCommerce


LEER MÁS →

Hoy en día, la magia de la tecnología nos permite realizar cantidad de tareas y procesos de forma automática sin que tengamos que intervenir. De esta forma, conseguimos ser más eficientes, siempre y cuando sepamos cómo utilizar todas estas herramientas.  En el caso de las plataformas de comercio electrónico, esto no es una excepción. Por […]
AtrásListadoSiguiente