Solución a grave vulnerabilidad en Prestashop

Si estás suscrito al boletín de PrestaShop, ya sabrás que se ha detectado una grave vulnerabilidad de seguridad en las tiendas PrestaShop (todas las versiones antiguas están afectadas), sólo está libre de este grave agujero de seguridad la última versión de PrestaShop publicada, la 1.6.1.0, la cual ya incluye la solución al problema. Este fallo de seguridad es muy serio, los hackers han encontrado la forma de simular la aleatoriedad de las contraseñas en PrestaShop con lo que es posible que pudieran robar datos privados del backoffice de tu tienda. Cómo ves, este tema es lo suficientemente grave cómo para no pasar por alto esta entrada de nuestro blog, lee atento y ponte manos a la obra a solucionar esto en tu tienda.

Solución al agujero de seguridad en Prestashop

La solución proporcionada por PrestaShop se ha demorado un par de meses pero al menos la solución en la mayoría de los casos será automatizada, pues únicamente requerirá el instalar el módulo que PrestaShop ha preparado para este fin. En el siguiente enlace podrás descargar el módulo para instalar en tu tienda. Pero solo es compatible con las versiones 1.4.11.0 a  1.6.1.0.
http://addons.prestashop.com/es/natif/20255-securitypatch.html

Se recomienda pues descargar, e instalar, en caso de que el módulo no pueda realizar los cambios requeridos indicará la url de información dónde tendrás que seguir las instrucciones para solucionar el problema. Antes de nada, es absolutamente imprescindible solicitar a tu hosting que hagan un backup de toda la tienda para poder volver atrás y evitar que la tienda quedara inhabilitada por algún problema con este módulo, aunque es muy improbable, pero dependerá de los módulos que haya instalado en tu tienda.

Para usuarios con un nivel técnico alto, os informamos que las clases afectadas son estas:

•    Admin > password.php
•    Classes > customer.php
•    Classes > Tools.php
•    Classes > Validate.php
•    Controllers >PasswordController.php

Por nuestra parte, todos los clientes que tienen contratado tiendas de pago mensual ya se les está realizando dicha solución desde el día del anuncio, y en breve acabaremos con dicho trabajo para la tranquilidad de todos ellos.

Para todas las tiendas anteriores a versiones 1.4.11.0, todo pasa por actualizar las tiendas a la ultima versión publicada por PrestaShop, la versión 1.6.1.0.

Actualiza tu tienda a la última versión de PrestaShop

Nosotros lo tenemos claro, la solución es migrar más tarde o más temprano a la última versión de PrestaShop (1.6.1.0), no sólo por seguridad, sino también por rendimiento, sin embargo si la versión a migrar es antigua (menor que la versión 1.6x), tendrás que tener en cuenta que necesitarás una nueva plantilla y nuevos módulos, pues los módulos no oficiales serán casi a todas luces incompatibles, por eso nosotros recomendamos que esta actualización sea realizada por expertos (y cuánto antes mejor), en nuestro caso son cientos de actualizaciones las que llevamos y todas sin problemas, aunque no negamos que algunas actualizaciones han sido problemáticas y se ha tardado más de lo esperado (1 día) por la dificultad de dicho trabajo, y esto también es una cosa que se debe tener en cuenta, ya que la tienda puede llegar a permanecer cerrada varios días si la versión es muy antigua. En todo caso, os dejamos la página de información sobre nuestro servicio de actualización.
https://www.innovadeluxe.com/actualizacion-prestashop/

En definitiva, os recomendamos una actualización rápida, por que aunque PrestaShop a sacado un parche para muchas tiendas, es eso, un parche. Siempre es mejor tener una tienda limpia con el código optimizado y totalmente segura.

Si necesitas información adicional, ponte en contacto con nosotros. Si tienes algún comentario sobre este fallo de seguridad deja un comentario en este artículo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


*

Utilizamos Cookies propias y de terceros para recopilar información para mejorar nuestros servicios y para análisis de sus hábitos de navegación. Si continua navegando, supone la aceptación de la instalación de las mismas. Puedes configurar tu navegador para impedir su instalación. Para saber más

En cumplimiento de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL informa que es titular del sitio web WWW.INNOVADELUXE.COM De acuerdo con la exigencia del artículo 10 de la citada Ley, INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL informa de los siguientes datos:

El titular de este sitio web es INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL, con CIF B86091451 y domicilio social en C/ Teniente Ruiz 2, 1º H, 28805, ALCALA DE HENARES MADRID, inscrita en el Registro Mercantil, en el Tomo: 28264. Libro: 0. Folio: 200. Sección: 8. Hoja: M 509082Y. La dirección de correo electrónico de contacto con la empresa es: contacto@innovadeluxe.com

USUARIO Y RÉGIMEN DE RESPONSABILIDADES

La navegación, acceso y uso por el sitio web de INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL confiere la condición de usuario, por la que se aceptan, desde la navegación por el sitio web de INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL, todas las condiciones de uso aquí establecidas sin perjuicio de la aplicación de la correspondiente normativa de obligado cumplimiento legal según el caso.

El sitio web de INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL proporciona gran diversidad de información, servicios y datos. El usuario asume su responsabilidad en el uso correcto del sitio web. Esta responsabilidad se extenderá a:

• La veracidad y licitud de las informaciones aportadas por el usuario en los formularios extendidos por INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL para el acceso a ciertos contenidos o servicios ofrecidos por el web.
• El uso de la información, servicios y datos ofrecidos por INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL contrariamente a lo dispuesto por las presentes condiciones, la Ley, la moral, las buenas costumbres o el orden público, o que de cualquier otro modo puedan suponer lesión de los derechos de terceros o del mismo funcionamiento del sitio web.


POLÍTICA DE ENLACES Y EXENCIONES DE RESPONSABILIDAD

INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL no se hace responsable del contenido de los sitios web a los que el usuario pueda acceder a través de los enlaces establecidos en su sitio web y declara que en ningún caso procederá a examinar o ejercitar ningún tipo de control sobre el contenido de otros sitios de la red. Asimismo, tampoco garantizará la disponibilidad técnica, exactitud, veracidad, validez o legalidad de sitios ajenos a su propiedad a los que se pueda acceder por medio de los enlaces.

INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL declara haber adoptado todas las medidas necesarias para evitar cualesquiera daños a los usuarios de su sitio web, que pudieran derivarse de la navegación por su sitio web. En consecuencia, INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL no se hace responsable, en ningún caso, de los eventuales daños que por la navegación por Internet pudiera sufrir el usuario.

MODIFICACIONES

INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL se reserva el derecho a realizar las modificaciones que considere oportunas, sin aviso previo, en el contenido de su sitio web. Tanto en lo referente a los contenidos del sitio web, como en las condiciones de uso del mismo, o en las condiciones generales de contratación. Dichas modificaciones podrán realizarse a través de su sitio web por cualquier forma admisible en derecho y serán de obligado cumplimiento durante el tiempo en que se encuentren publicadas en el web y hasta que no sean modificadas válidamente por otras posteriores.

COOKIES

Una Cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contenga y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario.

Las cookies son esenciales para el funcionamiento de internet, aportando innumerables ventajas en la prestación de servicios interactivos, facilitándole la navegación y usabilidad de nuestra web

La información que le proporcionamos a continuación, le ayudará a comprender los diferentes tipos de cookies:

TIPOS DE COOKIES
SEGÚN LA ENTIDAD QUE LAS GESTIONECookies propiasSon aquellas que se recaban por el propio editor para prestar el servicio solicitado por el usuario.
Cookies de terceroSon aquellas que son recabadas y gestionadas por un tercero, estas no se pueden considerar propias.
SEGÚN EL PLAZO DE TIEMPO QUE PERMANEZCAN ACTIVADASCookies de sesiónRecaban datos mientras el usuario navega por la red con la finalidad de prestar el servicio solicitado.
Cookies persistentesSe almacenan en el terminal y la información obtenida, será utilizada por el responsable de la cookie con la finalidad de prestar el servicio solicitado.
SEGÚN SU FINALIDADCookies técnicasSon las necesarias para la correcta navegación por la web.
Cookies de personalizaciónPermiten al usuario las características (idioma) para la navegación por la website
Cookies de análisisPermiten al prestador el análisis vinculado a la navegación realizada por el usuario, con la finalidad de llevar un seguimiento de uso de la página web así como realizar estadísticas de los contenidos más visitados, número de visitantes, etc.
Cookies publicitariasPermiten al editor incluir en la web espacios publicitarios, según el contenido de la propia web.
Cookies de publicidad comportamentalPermiten al editor incluir en la página web espacios publicitarios según la información obtenida a través de los hábitos de navegación del usuario.
Según lo dispuesto en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL informa de las cookies utilizadas en nuestra website:
TIPOS DE COOKIES
Cookies propiasCookies de terceroCookies de sesiónCookies persistentes
FINALIDAD Cookies técnicasX
Cookies de personalización X
Cookies de análisisX
Cookies de publicidad comportamental

Innovadeluxe Diseño y Desarrollo Web usa cookies propias (técnicas) necesarias para:
• la navegación por su sitio web. (Cookie utilizada - PHPSESSID)
• control de mensaje de aceptación de cookies - aviso (Cookie utilizada - peadingCookie)

También se usan cookies propias (personalización) necesarias para:
• mostrar el contenido de la web en diferentes idiomas. (Cookie utilizada - _icl_visitor_lang_js y _icl_current_language)

Además usa Cookies de terceros:
• Para analítica del comportamiento de navegación de su sitio web por parte de los usuarios (obteniendo datos del tipo: número de visitantes, tiempo de las visitas, páginas vistas, palabras clave usadas para encontrar el sitio, etc...) en ningún caso se obtiene ningún tipo de dato personal de los usuarios. (Cookies utilizadas - _ga, __utma, __utmb,__utmc, __utmz)
• También usa cookies de Youtube para mostrar vídeos de sus productos y servicios desde esta plataforma. Obteniendo datos estadísticos de visualización de los vídeos proporcionados. Sin obtención de datos personales de los usuarios.

Las cookies de análisis de esta página son proporcionadas por el servicio Google Analytics propiedad de Google Inc.

https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

Las cookies de YouTube de esta página son proporcionadas por Google Inc.

http://www.google.es/intl/es/policies/privacy/

Asimismo, INNOVADELUXE DISEÑO Y DESARROLLO WEB, SL informa al usuario de que tiene la posibilidad de configurar su navegador de modo que se le informe de la recepción de cookies, pudiendo, si así lo desea, impedir que sean instaladas en su disco duro.

A continuación le proporcionamos los enlaces de diversos navegadores, a través de los cuales podrá realizar dicha configuración:

Firefox desde aquí: http://support.mozilla.org/es/kb/habilitar-y-deshabilitar-cookies-que-los-sitios-we
Chrome desde aquí: http://support.google.com/chrome/bin/answer.py?hl=es&answer=95647
Explorer desde aquí: http://windows.microsoft.com/es-es/windows7/how-to-manage-cookies-in-internet-explorer-9
Safari desde aquí: http://support.apple.com/kb/ph5042
Opera desde aquí:http://help.opera.com/Windows/11.50/es-ES/cookies.html

Cerrar