Problema de seguridad en Prestashop resuelto

por | Sep 12, 2022 | Prestashop

Problema de seguridad en Prestashop resuelto

Cualquier versión, tanto 1.6 como 1.7, excepto de la 1.7.8.2 en adelante, puede ser vulnerable al problema de seguridad en prestashop por inyección de código SQL. Te explico cómo solucionarlo sin tener que actualizar tu tienda

Problema de seguridad en Prestashop resuelto

El pasado mes de julio, Prestashop alertó a toda su comunidad de un agujero de seguridad que habían detectado ellos mismos. A través de esta vulnerabilidad, se podía ejecutar código arbitrario en los servidores en los que está corriendo Prestashop. El problema es que puede ser una manera de robar información de pago de los clientes.

Esto afectaría a todas las versiones de prestashop desde la 1.6.0.10 hasta la 1.7.8.2. Esta última versión no sería vulnerable a no ser que tuviera instalado algún módulo que tenga una vulnerabilidad similar, por ejemplo, las versiones 2.0.0 y 2.0.1 del módulo de whislist. Si lo tienes instalado, actualízalo al momento.

¿Cómo sé si mi tienda está infectada?

Busca un fichero llamado blm.php en la carpeta raíz de tu web. ¿Qué hace este fichero? A través de él, los atacantes generan un formulario de pago falso que imita el real, de manera que los clientes realizan el pago a través de él y no del auténtico, con lo que facilitan sus datos de pago sin saberlo.

Además, ve al archivo de los de tu servidor y busca una actividad como esta:

-  "POST /modules/XXX/XXX.php HTTP/1.1" 200 82772 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14"
 
-  "GET / HTTP/1.1" 200 63011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.98 Safari/537.36"
 
-  "POST /blm.php HTTP/1.1" 200 82696 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0"

 

Cómo resolver el problema de seguridad

  • Antes de nada, ten actualizados todos tus módulos.
  • Actualiza tu tienda. La 1.7.8.7 y posteriores se han fijado especialmente contra ataques por inyección de código SQL como éste.
  • Si no puedes o no quieres actualizar tu tienda en este momento, haz estas modificaciones:
    • Accede a los archivos de tu servidor, bien desde el administrador de archivos del mismo o bien desde un programa de ftp tipo FileZilla.
    • Localiza el fichero /config/smarty.config.inc.php
    • Edítalo y borra las líneas 43-46 (PrestaShop 1.7) o 40-43 (PrestaShop 1.6). Son éstas:
if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
    include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
    $smarty->caching_type = 'mysql';
}

Sobre todo, ten siempre tu tienda actualizada

Sea la versión que sea, mantén tu prestashop actualizado y todos y cada uno de los módulos. Y, muy importante, configura tu servidor para que almacene copias de seguridad de manera regular de tu web. Así, si no consigues resolver el problema que sea que tengas, puedes restaurar una copia de seguridad anterior limpia y que te garantice que el problema no se ha propagado.

Espero que te haya servidor. Mucha suerte y mucho e-commerce! 🙂

Rating: 5.0/5. From 3 votes.
Please wait...

No template found for /themes/classic/category.tpl

  Puede que tu tienda esté funcionando sin problema y, de repente, tus categorías den error 500 o muestren No template found for /themes/classic/category.tpl. Te explico cómo solucionarlo Si vienes de haber actualizado un prestashop de 1.6 a 1.7, no siempre, pero...

leer más

[Resuelto] Collation unknow: ‘utf8mb4_0900_ai_ci’

  Si estás importando el contenido de una base de datos, es posible que te haya aparecido el error #1273 - Collation unknow: 'utf8mb4_0900_ai_ci'. Te explico cómo solucionarlo, es muy fácil y rápido Collation unknow: 'utf8mb4_0900_ai_ci' Es muy posible que hayas...

leer más

Cómo añadir nuevo usuario en Google Search Console

Si quieres saber cómo añadir nuevo usuario en google search console porque tienes que agregar un colaborador, a veces puede ser poco intuitivo. Te explico cómo hacerlo fácil y rápido Como ya sabes, Google Search Console es un servicio gratuito de Google que te ayuda a...

leer más

Centro de preferencias de privacidad

Necesarias

Se usan para saber si ya aceptaste nuestras políticas, si ya estás suscrito a nuestra newsletter, para reconocer el estado de tu sesión si la tuvieses y para servir más rápidos los contenidos.

No se captura IPs ni siquiera para el servicio de Analytics así que tu visita es privada.

JSESSIONID, _cfuid, wpSGCachePypass, mailerlite, gdpr, gawp

Translate »