Solución a registros de usuarios falsos en Prestashop

Desde hace unos días muchos de los usuarios de tiendas Prestashop han comprobado como decenas de nuevos usuarios se registraban en sus tiendas con emails falsos y con enlaces hacia webs maliciosas. Este tipo de hackeo en un primer momento se puede detectar si el usuario recibe muchos emails rebotados que él no ha enviado, esto es así porque al ser cuentas falsas cuando Prestashop envía el mensaje de bienvenida o alta, no puede ser entregado y el servidor de destino lo rechaza con un mensaje de vuelta.

 

El método usado para este registro de usuarios falsos consiste en lanzar peticiones tipo POST hacia la url de registro y en esas peticiones añaden los valores para todos los campos. Esto se efectúa desde servidores hackeados fuera de España, usando varias IPs para no ser detectados y para que sea más complejo poder bloquearlo. Por nuestra parte hemos estado bloqueando todas las IPs que hemos podido comprobar que lo hacían, pero esto es solamente una solución temporal, ya que usan cada vez una distinta.

 

Algunos desarrolladores y en los foros de Prestashop se indica que una posible solución pasa por instalar un captcha (a nivel de PHP) en el formulario de registro.

 

En una entrada del foro oficial el usuario doekia ofrece también una solución alternativa relativamente sencilla que modifica los archivos classes/Validate.php y classes/Customer.php para evitar que puedan añadirse caracteres en campos que no deben incluirlos (como por ejemplo el campo de Apellidos). La url de este post es la siguiente y es compatible con Prestashop 1.5, 1.6 y 1.7:

 

https://www.prestashop.com/forums/topic/981159-securite-spam-customer-account-solution-13-17/

 

Dentro de esta misma solución, el usuario que lo ha propuesto nos facilita un enlace con todo el código que automatiza la modificación de esos archivos para no tener que hacerlo a mano. Hay que guardar un archivo con ese código para subirlo por FTP o el gestor de archivos de Plesk al directorio de administración de Prestashop y posteriormente cargar la url en un navegador:

 

1.- Vamos al enlace https://area51.enter-solutions.com/snippets/122

2.- Pinchamos sobre «raw» y  se abre una nueva ventana en el navegador con todo el código.

3.- Con el botón secundario del ratón le damos a «Guardar como…» y le ponemos como nombre al archivo el mismo sugerido por ese desarrollador: patch122.php

4.- Conectamos por FTP o entramos en el panel de control Plesk, y subimos el archivo dentro del directorio de administración de Prestashop.

5.- Cargamos en el navegador la url. Tiene que tener esta estructura como ejemplo: https://mitiendapresta.es/admin123/patch122.php

6.- Aparecerá en el navegador un aviso como que se ha completado el cambio: «class Validate is now overrided class Customer is now overrided END»

 

Seguramente los desarrolladores de Prestashop tomarán buena nota de esta incidencia para aportar una solución definitiva en la siguiente actualización de este popular e-commerce, pero mientras tanto son los desarrolladores/programadores o usuarios de las webs quien deben parchearlo.

Adaptación servidores a normativa sobre TLS

 

El día 30 de Junio de 2018 está establecido el límite para la deshabilitación del protocolo TLS 1.0 debido a la obsolescencia de su cifrado.

TLS (Transport Layer Security) es un protocolo de seguridad en la capa de transporte del modelo de Interconexión de Sistemas Abiertos (OSI), que garantiza la encriptación entre las comunicaciones en Internet.

Este protocolo es un estándar de seguridad y es usado mayormente en los sistemas de pago en Internet, aunque también afecta a los servicios FTP, correo, etc. que se encuentran en un servidor.

Es por esto, que es muy importante que las comunicaciones se realicen con la mayor seguridad posible. Actualmente existen los protocolos TLS 1.0, TLS 1.1, TLS 1.2 y TLS 1.3 (soportado por los navegadores más recientes), y la fecha indicada al principio del post va a dejar el primero de todos obsoleto.

En Loading ya tenemos realizada la adaptación al nuevo estándar y hemos deshabilitado esa versión de TLS 1.0 en todos nuestros servidores de hosting compartido y también en VPS y dedicados con Plesk.

Además, la negociación SSL entre los servidores de Loading y los servidores de destino (pasarelas de pago, por ejemplo) soporta los últimos protocolos recomendados (TLS 1.1 y TLS 1.2). El cliente por su parte no tendría que realizar ninguna modificación a nivel de configuraciones en el servidor, pero sí debe tener en cuenta que al igual que Loading, las pasarelas de pago podrían haber adaptado sus sistemas y desactivado el protocolo TLS 1.0, por lo que deberá confirmar que sus scripts php o módulos de conexión con las pasarelas de pago soportan TLS 1.1 y TLS 1.2.

Pueden obtener más información sobre este tema pulsando aquí.

 

Sigue todas nuestras ofertas y novedades en Facebook Twitter.

Vulnerabilidad de Prestashop solucionada en Loading

Hace un tiempo se detectó una vulnerabilidad en Prestashop que permitía que individuos no autorizados tuvieran acceso a modificar diversos archivos de esta herramienta e-commerce con código malicioso.

Las versiones 1.4, 1.4.1, 1.4.2, 1.4.3 y 1.4.4 de la solución popular de comercio electrónico de código abierto son vulnerables.

Los propietarios de tiendas virtuales son aconsejados a buscar uno de varios síntomas a fin de determinar si su tienda fue comprometida. Estos incluyen la existencia de un archivo llamado her.php en la raíz de la carpeta o los módulos, la existencia de un archivo que no sea index.php en las carpetas de carga o descarga, modificaciones no autorizadas en el archivo footer.tpl o la desaparición del directorio herramientas/smarty_v2.

Desde Loading, y para todos nuestros clientes con estas versiones, ya hemos aplicado el parche que soluciona esta vulnerabilidad y ya no hay posibilidad de que los hackers la utilicen para causar daños en las tiendas.

También queremos poner a disposición de todo el mundo dicho parche que podrán aplicar en sus comercios montados con Prestashop que dispongan de las versiones comentadas anteriormente. Descargar aquí.