Alertas de seguridad en Prestashop

Alertas de seguridad en Prestashop
Anterior

¿Agujeros de seguridad en Prestashop?

Buenos días a tod@s, hoy os traigo un tema que me ha preocupado bastante en estas últimas semanas, y es la repentina alerta para la actualización de la gran mayoría de los módulos nativos de prestashop.
Antes de empezar dos cosas:
1. Con alerta de actualización me refiero al back-end en la parte de módulos.
2. Cuando digo mayoría me refiero a aproximadamente un 34% de los módulos nativos de prestashop (lo que implica que en un proyecto de prestashop 1.6.1.6 recién descargado e instalado de los 100 módulos que trae prestashop 34 de ellos necesitan actualizar).

Listado de módulos a actualizar:

  • Bloque de Banner
  • Bloque de búsqueda rápida
  • Bloque de carrito
  • Bloque de categorías
  • Bloque de contacto
  • Bloque de divisa
  • Bloque de fabricantes
  • Bloque de información CMS personalizado
  • Bloque de información de contacto
  • Bloque de información de usuario
  • Bloque de logos de pago
  • Bloque de logos de pago
  • Bloque de novedades
  • Bloque de productos vistos
  • Bloque etiquetas
  • Bloque Mi cuenta
  • Bloque Mi cuenta en el pie de página
  • Bloque Más vendidos
  • Bloque navegación por facetas
  • Bloque newsletter
  • Bloque promociones especiales
  • Bloque proveedor
  • Bloque selector de idioma
  • Bloque social
  • Bloque tiendas
  • Cheque
  • Configurador de temas
  • Diapositivas de imágenes para tu página web
  • Menú horizontal superior
  • Productos Destacados en la Página de inicio
  • Redes sociales
  • Transferencia bancaria
  • Cron tasks manager
  • Módulo enviar a un amigo

Y claro, imaginaros la cara de shock cuando de un día para otro saltan todas estas actualizaciones de golpe y porrazo en el gestor eCommerce.  Uno de los agujeros de seguridad que más está dando que hablar en la comunidad Prestashop es el módulo "Enviar a un amigo" (sendtofriend), que permite recomendar productos por email a tus contactos y el mismo ha estado siendo utilizado para el envío masivo de spam, e inutilizando así las webs afectadas.

Nota: A mi me ha llegado uno de esos correos, os pongo una captura, que más que captura parece un documento clasificado de la CIA. 🙂

spam

Pero ahora lo más importante es saber que dicen desde Prestashop sobre la problemática, y la respuesta hasta el momento es: nada, porque salvo que lo hayan publicado en un rincón oscuro y alejado, yo particularmente no he encontrado absolutamente nada en Internet y menos en la página oficial de Prestashop.

De hecho la única información que he tenido, es la de la respuesta en el foro de prestashop por el usuario (Loadinges), y básicamente es más o menos lo de arriba, donde la parte más importante del mensaje es esta "Recientemente han salido varios módulos con fallos de seguridad en algunos módulos que permitían a un usuario externo subir un fichero .php y tener control total de la página web."

No es un problema menor, por lo que me ha extrañado bastante que desde Prestashop (página oficial), no hayan dicho absolutamente nada. ¿Será que no quieren que la gente lo sepa?.

¿Soluciones?

Pues desgraciadamente como algunos os estaréis imaginando, no va a quedar más remedio que; o bien actualizar los módulos, o bien desactivar, desinstalar y eliminar el módulo para posteriormente buscar otro con la misma funcionalidad, pero más seguro.

De hecho, esta segunda opción es la que recomienda en el foro (Loadinges), para el módulo sendtofriend "No obstante, sería recomendable prescindir de este módulo, ya que por nuestra experiencia lo están usando en las últimas semanas para el envío de SPAM o "correo no deseado". Introducen un fragmento de texto o publicidad al lado del mensaje de "Un amigo te ha enviado un vínculo a un producto que él piensa que pueden interesarle"."

Un opción que podríais barajar es la de añadir un captcha al módulo, pero como ya os digo soy partidario de quitarlo de en medio.

Así que así está la cosa, si teneis modificaciones en alguno de los módulos del listado de arriba, nos os va a quedar otra que actualizar y luego volver a editar de nuevo (salvo que useis override, y con suerte no cambien el código en esa parte que tenéis editad).

Quiero reacalcar bien que"No vale solamente con desactivar el módulo". Hay que desinstalar y eliminar, sino el agujero de seguridad continuará funcionando de manera interna.

¡Tomad medidas lo antes posible, o estaréis en riesgos de que os tumben la web! Como siempre un fuerte abrazo.