Alertas de seguridad en Prestashop

  por    0   1

¿Agujeros de seguridad en Prestashop?

Buenos días a tod@s, hoy os traigo un tema que me ha preocupado bastante en estas últimas semanas, y es la repentina alerta para la actualización de la gran mayoría de los módulos nativos de prestashop.
Antes de empezar dos cosas:
1. Con alerta de actualización me refiero al back-end en la parte de módulos.
2. Cuando digo mayoría me refiero a aproximadamente un 34% de los módulos nativos de prestashop (lo que implica que en un proyecto de prestashop 1.6.1.6 recién descargado e instalado de los 100 módulos que trae prestashop 34 de ellos necesitan actualizar).

Listado de módulos a actualizar:

  • Bloque de Banner
  • Bloque de búsqueda rápida
  • Bloque de carrito
  • Bloque de categorías
  • Bloque de contacto
  • Bloque de divisa
  • Bloque de fabricantes
  • Bloque de información CMS personalizado
  • Bloque de información de contacto
  • Bloque de información de usuario
  • Bloque de logos de pago
  • Bloque de logos de pago
  • Bloque de novedades
  • Bloque de productos vistos
  • Bloque etiquetas
  • Bloque Mi cuenta
  • Bloque Mi cuenta en el pie de página
  • Bloque Más vendidos
  • Bloque navegación por facetas
  • Bloque newsletter
  • Bloque promociones especiales
  • Bloque proveedor
  • Bloque selector de idioma
  • Bloque social
  • Bloque tiendas
  • Cheque
  • Configurador de temas
  • Diapositivas de imágenes para tu página web
  • Menú horizontal superior
  • Productos Destacados en la Página de inicio
  • Redes sociales
  • Transferencia bancaria
  • Cron tasks manager
  • Módulo enviar a un amigo

Y claro, imaginaros la cara de shock cuando de un día para otro saltan todas estas actualizaciones de golpe y porrazo en el gestor eCommerce.  Uno de los agujeros de seguridad que más está dando que hablar en la comunidad Prestashop es el módulo “Enviar a un amigo” (sendtofriend), que permite recomendar productos por email a tus contactos y el mismo ha estado siendo utilizado para el envío masivo de spam, e inutilizando así las webs afectadas.

Nota: A mi me ha llegado uno de esos correos, os pongo una captura, que más que captura parece un documento clasificado de la CIA. 🙂

spam

Pero ahora lo más importante es saber que dicen desde Prestashop sobre la problemática, y la respuesta hasta el momento es: nada, porque salvo que lo hayan publicado en un rincón oscuro y alejado, yo particularmente no he encontrado absolutamente nada en Internet y menos en la página oficial de Prestashop.

De hecho la única información que he tenido, es la de la respuesta en el foro de prestashop por el usuario (Loadinges), y básicamente es más o menos lo de arriba, donde la parte más importante del mensaje es esta “Recientemente han salido varios módulos con fallos de seguridad en algunos módulos que permitían a un usuario externo subir un fichero .php y tener control total de la página web.”

No es un problema menor, por lo que me ha extrañado bastante que desde Prestashop (página oficial), no hayan dicho absolutamente nada. ¿Será que no quieren que la gente lo sepa?.

¿Soluciones?

Pues desgraciadamente como algunos os estaréis imaginando, no va a quedar más remedio que; o bien actualizar los módulos, o bien desactivar, desinstalar y eliminar el módulo para posteriormente buscar otro con la misma funcionalidad, pero más seguro.

De hecho, esta segunda opción es la que recomienda en el foro (Loadinges), para el módulo sendtofriend “No obstante, sería recomendable prescindir de este módulo, ya que por nuestra experiencia lo están usando en las últimas semanas para el envío de SPAM o “correo no deseado”. Introducen un fragmento de texto o publicidad al lado del mensaje de “Un amigo te ha enviado un vínculo a un producto que él piensa que pueden interesarle”.”

Un opción que podríais barajar es la de añadir un captcha al módulo, pero como ya os digo soy partidario de quitarlo de en medio.

Así que así está la cosa, si teneis modificaciones en alguno de los módulos del listado de arriba, nos os va a quedar otra que actualizar y luego volver a editar de nuevo (salvo que useis override, y con suerte no cambien el código en esa parte que tenéis editad).

Quiero reacalcar bien que“No vale solamente con desactivar el módulo”. Hay que desinstalar y eliminar, sino el agujero de seguridad continuará funcionando de manera interna.

¡Tomad medidas lo antes posible, o estaréis en riesgos de que os tumben la web! Como siempre un fuerte abrazo.

Javier Torres

Javier Torres

Programador eCommerce & Apps at FreshCommerce
Entusiasta de las nuevas tecnologías y la programación, se siente cómodo resolviendo
los diferentes retos de nuestras APPs y proyectos eCommerce.
Javier Torres

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Posts relacionados

El reto de la accesibilidad web


LEER MÁS →

Vivimos la era de la transformación digital. Todo pasa hoy en día por Internet. Un mundo digital de dimensiones inabarcables, en constante evolución y cuya proyección es inestimable. Tenemos el mundo a golpe de Click, pero uno de los principales retos de esta era es lograr que el 15% de la población mundial que padece […]

Turismo y marketing digital, una relación inseparable


LEER MÁS →

Big Data, Data Mining, IA y todo ello, ¿para qué?, ¡para obtener más y mejores datos!, y, aplicado al sector turístico, sobre todo, para conocer mejor a nuestro cliente. Los marketeros somos, en gran medida, analistas e intérpretes del cliente y el producto turístico. Somos intermediarios entre el sector y cliente. ¡Tenemos información a través […]

Errores del TPV Redsys ¿Qué significan?

error pago tarjeta tienda online


LEER MÁS →

A continuación publicamos la lista de códigos de errores más comunes en pasarelas de pago RedSys, su significado y cómo solucionarlos. A menudo, cuando se gestiona una tienda online PrestaShop, los emprendedores se encuentran con situaciones en las que los clientes no logran terminar el pago o bien la pasarela de pago (TPV) no responde […]

Modelos de Atribución ¿Quién vende realmente en tu eCommerce?


LEER MÁS →

Si te preguntara cuánto dinero ha generado Facebook, Instagram o Google en tu proyecto de comercio electrónico ¿qué me dirías? ¿Serías capaz de detallarme cuantas ventas y dinero genera cada canal digital que usas (o no usas) o me dirías que no tienes ni idea? En este artículo te hablamos sobre los modelos de atribución […]

Inteligencia artificial en el E-commerce


LEER MÁS →

Probablemente, habrás escuchado algo sobre qué es la inteligencia artificial y la revolución que está generando a día de hoy. Según que medios leas, es posible que pronto veamos una sociedad dependiente de robots autosuficientes que nos lleven al trabajo, nos faciliten nuestra vida en general, o por el contrario la inteligencia artificial será la […]
AtrásListadoSiguiente