Debido al problema de seguridad que hemos detectado, hoy publicamos varias opciones para garantizar la máxima seguridad en las tiendas de nuestros usuarios y socios:
- Nuevas versiones de PrestaShop 1.4.x y 1.5.x. La versión 1.6.1.0 es segura.
- Archivos con parches para las últimas versiones de cada rama: 1.4.11.0, 1.5.6.2 y 1.6.0.14.
- El módulo Parche de Seguridad, que instala los parches anteriores de un modo mucho más sencillo.
- Archivos comprimidos con los archivos modificados para las ramas 1.4, 1.5 y 1.6.
Te recomendamos encarecidamente que actualices tu tienda a la última versión publicada de tu rama (1.5.6.3 y 1.4.11.1) o que instales los parches que te ofrecemos (consulta los siguientes enlaces).
La versión 1.5.6.3 también soluciona otros 17 problemas: comprueba el registro de cambios.
La versión 1.4.11.1 también soluciona otros 7 problemas: comprueba el registro de cambios.
Lee todo el artículo atentamente. Gracias por tu colaboración.
¿A qué versiones afecta el problema de seguridad?
El problema de seguridad detectado afecta a todas las versiones de PrestaShop, excepto la 1.6.1.0 y PrestaShop Cloud.
Por lo tanto, concierne a todas las versiones de las ramas 1.4.x, 1.5.x y 1.6.x (en este caso, hasta la 1.6.0.14).
Resumiendo, si aún no has actualizado a PrestaShop 1.6.1.0, es probable que tu tienda sea vulnerable a este problema.
Los temas y los módulos no se ven afectados por lo que deberían funcionar sin problemas una vez instalado el parche.
¿Cómo arreglo el problema en mi tienda/en las tiendas de mis clientes?
Ofrecemos varias soluciones alternativas para aquellos que aún no han actualizado a PrestaShop 1.6.1.0:
- Si no tienes conocimientos técnicos, hemos creado para ti el módulo Parche de Seguridad, que instalará todo lo necesario para solucionar el problema en las ramas 1.4, 1.5 y 1.6. Es decir, garantizamos su funcionamiento con PrestaShop 1.4.11.0, 1.5.6.2 y 1.6.0.14.
Este módulo funciona con las tres ramas: ¡solo tienes que instalarlo, activarlo y aplicar el parche! - Aquellos sin conocimientos técnicos o que no puedan usar el módulo, pueden conseguir un parche para las últimas versiones de cada rama (1.4, 1.5, 1.6) en GitHub (haz clic aquí para acceder a los enlaces).
Como en el caso del módulo, estos parches solo funcionan con las últimas versiones de cada rama —es decir, 1.4.11.0, 1.5.6.2 y 1.6.0.14— siempre y cuando no hayas hecho ningún cambio en ellas.
Si no tienes la tienda actualizada con nuestra rama más reciente (1.6), te sugerimos que actualices a la última versión antes de aplicar el parche.
Si no puedes actualizar, tendrás que encargarte de adaptar el parche a tu situación concreta. - También puedes descargar los archivos actualizados para las ramas 1.4, 1.5 y 1.6. Contienen únicamente los archivos que han sido modificados desde la última versión de cada rama. Haz clic aquí para acceder a los enlaces.
Si no has hecho cambios en esos archivos, puedes simplemente sustituir los antiguos por los nuevos.
Por último, hemos actualizado las ramas 1.5.x y 1.4.x. A día de hoy puedes descargar PrestaShop 1.5.6.3 y 1.4.11.1 de la página de versiones anteriores.
Dado que la versión 1.6.1.0 ya contiene el parche para la rama 1.6, no vamos a publicar ninguna versión 1.6.0.15. ¡Actualiza!
El módulo aplica los parches de cada rama, que están preparados para funcionar con las últimas versiones: 1.6.0.14, 1.5.6.2 y 1.4.11.0. Por lo tanto, puede que no funcionen con versiones anteriores. Si estás en esta situación, hemos creado una guía rápida sobre cómo aplicar los parches manualmente.
En cualquier caso, te recomendamos que tengas siempre la tienda actualizada con la versión más reciente y segura de PrestaShop: idealmente la 1.6.1.0 o, como mínimo, la última versión de la rama 1.5 o 1.4.
Si has hecho una profunda personalización de los archivos del núcleo, ¡toma todas las precauciones necesarias antes de instalar el módulo, fusionar los parches o cargar los archivos modificados! Puede que tengas que adaptar el parche a tu instalación concreta.
Ten en cuenta que el módulo no funcionará con todas las configuraciones de servidor Windows y solo con algunas configuraciones Linux. En estos casos, es tu responsabilidad adaptar el parche a la configuración específica. Lee las instrucciones de este archivo de texto.
Uso una versión antigua de PrestaShop, ¿qué puedo hacer?
El módulo funciona para las versiones recientes de las ramas 1.4, 1.5 y 1.6.0. Las versiones anteriores de estas ramas también deberían funcionar pero algunas de las más antiguas podrían dar problemas.
El módulo no sirve para PrestaShop 1.0, 1.1, 1.2 ni 1.3.
Si tienes una versión anterior de PrestaShop, lo mejor que podemos sugerirte, como hacemos siempre, es que actualices tu tienda. Deberías tener como mínimo la versión 1.4 de PrestaShop ya que no se publican actualizaciones para las anteriores (por ejemplo, la última de la rama 1.3 es de marzo de 2011, hace más de cuatro años).
Entendemos que haya quien pueda quedarse bloqueado en una versión antigua. Por eso publicamos hace poco un artículo que enumera cuatro formas sencillas de garantizar la seguridad de tu tienda online.
Estas son las cuatro estrategias:
- Mantén tu tienda y todos tus módulos actualizados con las últimas versiones.
- Protege la carpeta de tu back-office con una contraseña .htaccess.
- Utiliza un nombre poco común para la carpeta de tu back-office (algo que no sea un típico /admin1234).
- Usa contraseñas complejas o incluso una passphrase exclusiva para tu tienda.
¡Lee el artículo completo ahora mismo!
En nuestra página de documentación “Asegura tu instalación PrestaShop” encontrarás otros muchos consejos fáciles de poner en práctica.
Si quieres aplicar el parche tú mismo, puedes intentarlo ayudándote con la guía rápida para aplicar el parche manualmente.
¿En qué consiste el problema?
El problema detectado tiene que ver con la aleatoriedad del algoritmo de generación de contraseñas. Podría provocar que un hacker malicioso lograra acceder al back-office de tu tienda.
Un potencial ataque no es una broma, por lo que preferimos asegurarnos.
¿Cómo se ha descubierto y resuelto el problema?
El problema lo encontró nuestro asesor de seguridad Vincent Herbulot (@us3r777), que se puso en contacto directamente con security@prestashop.com gracias a nuestro modelo de “revelación responsable”. ¡Gracias, Vincent!
Fue nuestro equipo de seguridad quien resolvió el problema con ayuda del propio Vincent. Y nuestros desarrolladores crearon el módulo.
¿En qué consiste la revelación responsable?
La revelación responsable (y privada) de vulnerabilidades es una práctica habitual cuando alguien encuentra un problema de seguridad: antes de hacerlo público, informa al equipo de desarrollo. Así se puede diseñar la solución y minimizar el daño potencial.
El equipo de PrestaShop intenta ser siempre muy proactivo cuando se trata de evitar problemas de seguridad. A pesar de todo, pueden surgir problemas graves sin previo aviso.
Por eso hemos creado la dirección security@prestashop.com: cualquiera puede escribirnos en privado para informarnos sobre aspectos que afecten a la seguridad de los vendedores o clientes de PrestaShop. Nuestro equipo de seguridad te responderá y acordará un calendario para publicar los detalles.
Entender un problema de seguridad supone saber cómo se ha colado el hacker para atacar el sitio. Si tienes ese dato, ¡cuéntanoslo! (Y no lo publiques). Si no sabes cómo ha actuado el atacante, pide consejo en nuestros foros de ayuda.
¿Qué proceso sigue PrestaShop para solucionar los problemas de seguridad?
Gracias a que hemos adoptado recientemente un sistema de versiones de tipo SemVer y a la mejora continua del módulo 1-Click, confiamos en que actualizar PrestaShop será ahora coser y cantar para cualquier usuario. Las versiones con parches son compatibles con las soluciones de seguridad anteriores… y las nuevas se publican tan pronto como están listas.
También tenemos un sólido protocolo interno para actualizaciones de seguridad: con él nuestro equipo podrá reaccionar más rápido si surgen nuevos problemas… ¡y las actualizaciones serán mucho más seguras para todas las tiendas que tengan la última versión!
Nos comprometemos a mantener la seguridad de nuestros clientes y sus tiendas. Y nos tomamos nuestro compromiso muy en serio. Gracias por tu comprensión ante el problema que hoy nos ocupa. ¡Te agradeceríamos que actualizaras todas tus tiendas lo antes posible!
Descubre más desde Serboweb Informática Ingeniería: Soluciones de Desarrollo Web, SEO y Software a Medida
Suscríbete y recibe las últimas entradas en tu correo electrónico.