Alertas de seguridad en Prestashop

  por    0   1

¿Agujeros de seguridad en Prestashop?

Buenos días a tod@s, hoy os traigo un tema que me ha preocupado bastante en estas últimas semanas, y es la repentina alerta para la actualización de la gran mayoría de los módulos nativos de prestashop.
Antes de empezar dos cosas:
1. Con alerta de actualización me refiero al back-end en la parte de módulos.
2. Cuando digo mayoría me refiero a aproximadamente un 34% de los módulos nativos de prestashop (lo que implica que en un proyecto de prestashop 1.6.1.6 recién descargado e instalado de los 100 módulos que trae prestashop 34 de ellos necesitan actualizar).

Listado de módulos a actualizar:

  • Bloque de Banner
  • Bloque de búsqueda rápida
  • Bloque de carrito
  • Bloque de categorías
  • Bloque de contacto
  • Bloque de divisa
  • Bloque de fabricantes
  • Bloque de información CMS personalizado
  • Bloque de información de contacto
  • Bloque de información de usuario
  • Bloque de logos de pago
  • Bloque de logos de pago
  • Bloque de novedades
  • Bloque de productos vistos
  • Bloque etiquetas
  • Bloque Mi cuenta
  • Bloque Mi cuenta en el pie de página
  • Bloque Más vendidos
  • Bloque navegación por facetas
  • Bloque newsletter
  • Bloque promociones especiales
  • Bloque proveedor
  • Bloque selector de idioma
  • Bloque social
  • Bloque tiendas
  • Cheque
  • Configurador de temas
  • Diapositivas de imágenes para tu página web
  • Menú horizontal superior
  • Productos Destacados en la Página de inicio
  • Redes sociales
  • Transferencia bancaria
  • Cron tasks manager
  • Módulo enviar a un amigo

Y claro, imaginaros la cara de shock cuando de un día para otro saltan todas estas actualizaciones de golpe y porrazo en el gestor eCommerce.  Uno de los agujeros de seguridad que más está dando que hablar en la comunidad Prestashop es el módulo “Enviar a un amigo” (sendtofriend), que permite recomendar productos por email a tus contactos y el mismo ha estado siendo utilizado para el envío masivo de spam, e inutilizando así las webs afectadas.

Nota: A mi me ha llegado uno de esos correos, os pongo una captura, que más que captura parece un documento clasificado de la CIA. 🙂

spam

Pero ahora lo más importante es saber que dicen desde Prestashop sobre la problemática, y la respuesta hasta el momento es: nada, porque salvo que lo hayan publicado en un rincón oscuro y alejado, yo particularmente no he encontrado absolutamente nada en Internet y menos en la página oficial de Prestashop.

De hecho la única información que he tenido, es la de la respuesta en el foro de prestashop por el usuario (Loadinges), y básicamente es más o menos lo de arriba, donde la parte más importante del mensaje es esta “Recientemente han salido varios módulos con fallos de seguridad en algunos módulos que permitían a un usuario externo subir un fichero .php y tener control total de la página web.”

No es un problema menor, por lo que me ha extrañado bastante que desde Prestashop (página oficial), no hayan dicho absolutamente nada. ¿Será que no quieren que la gente lo sepa?.

¿Soluciones?

Pues desgraciadamente como algunos os estaréis imaginando, no va a quedar más remedio que; o bien actualizar los módulos, o bien desactivar, desinstalar y eliminar el módulo para posteriormente buscar otro con la misma funcionalidad, pero más seguro.

De hecho, esta segunda opción es la que recomienda en el foro (Loadinges), para el módulo sendtofriend “No obstante, sería recomendable prescindir de este módulo, ya que por nuestra experiencia lo están usando en las últimas semanas para el envío de SPAM o “correo no deseado”. Introducen un fragmento de texto o publicidad al lado del mensaje de “Un amigo te ha enviado un vínculo a un producto que él piensa que pueden interesarle”.”

Un opción que podríais barajar es la de añadir un captcha al módulo, pero como ya os digo soy partidario de quitarlo de en medio.

Así que así está la cosa, si teneis modificaciones en alguno de los módulos del listado de arriba, nos os va a quedar otra que actualizar y luego volver a editar de nuevo (salvo que useis override, y con suerte no cambien el código en esa parte que tenéis editad).

Quiero reacalcar bien que“No vale solamente con desactivar el módulo”. Hay que desinstalar y eliminar, sino el agujero de seguridad continuará funcionando de manera interna.

¡Tomad medidas lo antes posible, o estaréis en riesgos de que os tumben la web! Como siempre un fuerte abrazo.

Javier Torres

Programador eCommerce & Apps at FreshCommerce
Entusiasta de las nuevas tecnologías y la programación, se siente cómodo resolviendo
los diferentes retos de nuestras APPs y proyectos eCommerce.
Javier Torres

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Posts relacionados

La nueva herramienta de Google: Grow My Store

Google Grow My Store


LEER MÁS →

La nueva herramienta de Google: Grow My Store ¿Tienes una tienda online pero las ventas no terminan de arrancar? ¿O no tienes las suficientes visitas? O puede ser que sí tengas visitas pero no haces las suficientes conversiones. Incluso puede que estés pensando en montar una. En cualquiera de estos escenarios hay que plantearse auditar […]

Estado de las PWA en 2019


LEER MÁS →

Aquí en Freshcommerce ya hemos hablado sobre las aplicaciones web progresivas y sus ventajas frente a las aplicaciones nativas para dispositivos móviles. Está claro que cada vez son más claros los resultados de empresas líderes en sus sectores (Twitter, Flipkart, Forbes, Aliexpress, Uber, Trivago…) al usar PWA pero, ¿Cuál es el estado actual de estas en […]

Nueva normativa para pagos seguros en Europa


LEER MÁS →

Pronto entrará en vigor la directiva europea PSD2 que añadirá una nueva capa de seguridad a los pagos online pero que obliga a adaptar los procesos de compra de tiendas online. Actualización en la normativa PSD2, autenticación reforzada (SCA). El próximo 14 de septiembre entra en vigor la actualización de nuevos requisitos para la certificación […]

Iniciar sesión sin contraseña ya es estándar

Comercio electrónico seguridad login


LEER MÁS →

El Consorcio que gestiona los estándares en Internet (W3C) acaba de anunciar que WebAuthn (autenticación web) ya es una especificación estandarizada. Esta tecnología permite iniciar sesión en webs como tiendas online, bancos y aplicaciones de forma segura usando biometría, dispositivos móviles o claves especiales. Es decir, ya no es necesario tener una contraseña. Este avance […]

El reto de la accesibilidad web


LEER MÁS →

Vivimos la era de la transformación digital. Todo pasa hoy en día por Internet. Un mundo digital de dimensiones inabarcables, en constante evolución y cuya proyección es inestimable. Tenemos el mundo a golpe de Click, pero uno de los principales retos de esta era es lograr que el 15% de la población mundial que padece […]
AtrásListadoSiguiente