Posiblemente si tienes una tienda desarrollada con Prestashop has recibido un correo electrónico indicándote que hay una vulnerabilidad en Prestashop, no te alarmes ya que la solución a este problema de seguridad es de fácil solución, este fallo de seguridad afecta a todas las versiones de Prestashop, 1.6, 1.5. y 1.6, solo la versión 1.6.1 esta libre de este fallo.
El problema que se ha detectado en todas las versiones de Prestashop, reportada en Junio y corregida ahora en Agosto de 2015, excepto la 1.6.1, es que los hackers han descubierto la forma y aleatoriedad en que Prestashop genera las contraseñas por lo que el hacker podría acceder a tu backend y robar datos de clientes o como en una ocasión nos pasó, modificar algún método de pago, por ejemplo Paypal, e introducir sus datos, con los que los pagos de tus pedidos les estaría llegando a él, este problema no se suele detectar y es descubierto cuando hemos enviado los pedidos, por lo que el hacker se queda con la mercancía y el dinero…
Bueno, vamos a centrarnos de nuevo en el problema y la actualización de seguridad que Prestashop nos recomienda…
¿Cómo podemos aplicar el parche de seguridad de Prestashop?
Tenemos varias opciones, la más sencilla es usar el módulo que corrige esta fallo de seguridad y aplica el parche directamente, es de fácil instalación y funciona en todas las versiones.
Otra opción es actualizar a la versión 1.6.1, no siempre es posible si tenemos una tienda bastante tuneada, será posible realizarla con facilidad si ya nos encontramos en la versión 1.6, con esto todos nuestros problemas de seguridad desaparecerán.
En el caso que tengamos una versión más antigua de Prestashop, 1.5 o 1.4 , Prestashop ha sacado unas versiones que solucionan este problema, os adjuntamos la versiones para que las podéis descargar.
- Prestashop 1.5.6.3, soluciona este problema y otra serie de actualizaciones imprescindibles.
- Prestashop 1.4.11, soluciona el problema de seguridad y otra serie de actualizaciones.
En el caso que tengáis controladores modificados o el nivel de personalización de la tienda sea grande os recomendamos que en vez de actualizar la versión apliquéis los diferentes parches de seguridad que ha sacado Prestashop para tapar los diferentes agujeros de seguridad que existen en cada versión. Si da la casualidad que a estos archivos les habéis hecho override, lo mejor es que habléis con vuestra empresa de Desarrollo con Prestashop y os lo realice.
Para aplicar los parches tan solo tenéis que sustituir los archivos indicados por los que os adjunto más abajo, los podéis descargar o reemplazar las líneas de código, y ubicarlos en las rutas correspondientes:
- Admin->password.php
- Classes-> customer.php
- Classes-> Tools.php
- Classes-> Validate.php
- Controllers->PasswordController.php
En función de las diferentes versiones de Prestashop necesitas modificar por las siguiente versiones:
Recuerda, si puedes usar el módulo genial, si tienes problemas usa los parches indicados arriba y si tampoco te funciona ya solo te quedaría realizar una actualización de versión, os recomiendo seguir estos pasos en este orden para proteger tu tienda Prestashop.