Spanish

Una guía completa sobre la seguridad de la tienda PrestaShop

Updated on: October 26, 2023

Jinson Varghese Jinson Varghese

15 mins read

Una guía completa sobre la seguridad de la tienda PrestaShop

El comercio electrónico ha cobrado impulso en estos últimos años. Como resultado, han surgido múltiples plataformas en línea como Magento, Opencart y Prestashop. Prestashop ha ganado popularidad a nivel mundial, gracias a su naturaleza de código abierto. Sin embargo, como cualquier tienda en línea, la máxima prioridad para los clientes es la seguridad de Prestashop. Se han descubierto múltiples problemas de seguridad de Prestashop en los últimos años. De acuerdo con el libro  PrestaShop Module Development ,

This Blog Includes show

Seguridad Prestashop: Hacks comunes en Prestashop

Si bien configurar Prestashop es fácil, se necesita mucha precaución para mantenerlo seguro. Las tiendas en línea generalmente administran información confidencial, como los detalles de la tarjeta de crédito, y existe una gran responsabilidad para que las empresas manejen esos datos confidenciales de manera segura. Los atacantes están constantemente en juego para robar estos datos y vender en la web oscura a precios muy bajos. Para mantener segura la tienda Prestashop, echemos un vistazo a las formas en que se puede explotar la seguridad de Prestashop.

[ID del visualizador = “6290”]

Inyección SQL en Prestashop

Una vulnerabilidad SQLi fue expuesta en Prestashop. Esto ocurrió debido a la falta de desinfección de insumos en uno de sus módulos. El módulo vulnerable era el  Mega Menú Responsive (Horizontal + Vertical + Desplegable) . Se podría inyectar un SQLi a través de llamadas de función en el parámetro de código. Esto se denominó CVE-2018-8824. Antes de esto, el componente id_manifacturer se encontró propenso a SQLi. A través de la URL http://example.com/ajax/getSimilarManufacturer.php?id_manufacturer=3[SQL-injection]. Este componente era vulnerable a SQLi ciego. Al usar SQLi, el atacante puede:

  • Leer contenidos de la base de datos.
  • Descubra los detalles de inicio de sesión del usuario y luego inicie sesión como administrador.
  • Robe la información de la tarjeta de crédito del usuario en caso de que se haya almacenado localmente.
  • Realice otros ataques a partir de la información confidencial obtenida de la base de datos.
Seguridad Prestashop

Scripting entre sitios en Prestashop

Se han encontrado múltiples fallas XSS en Prestashop este año. Una vulnerabilidad descubierta a principios de año se denominó CVE-2018-5681. Sin embargo, requirió que el atacante iniciara sesión en el sistema primero, para explotarlo. La otra vulnerabilidad XSS más grave se encontraba en el módulo Formulario de contacto . Era más severo ya que era de naturaleza persistente. Esta vulnerabilidad permitió omitir la isCleanHtml()función. Se puede omitir usando la  codificación base64 . Además, esto se puede usar para inyectar códigos HTML. Editando así la visualización de mensajes.

Prestashop security XSS

Todas las entradas proporcionadas en la imagen están en formato base64. Ambos, cuando se decodifican, lo serían <script>alert()</script>. Por lo tanto, todos los mensajes enviados mediante el formulario de contacto serán visibles para el administrador después de iniciar sesión. Por lo tanto, al usar esto, un atacante puede:

  • Primero inyecta el código malicioso en los mensajes.
  • Cargue cookies de administrador robando scripts de un dominio malicioso
  • Después de recibir la cookie, el atacante puede iniciar sesión como administrador.
  • Esto abre el sitio a todo tipo de ataques adicionales.
  • Además, el atacante puede conectar el navegador del administrador y lanzar exploits del navegador.

Ejecución remota de código en Prestashop

Prestashop sufrió una vulnerabilidad RCE este año. El módulo responsable de esto fue  Responsive Mega Menu Pro . La URL completa es http:///modules/bamegamenu/ajax_phpcode.php?code=echo exec(id);. Apodado como CVE-2018-8823 , este problema permitió a los atacantes ejecutar código PHP arbitrariamente en el servidor. Usando esto, el atacante podría tener:

  • Ejecute comandos PHP en el servidor.
  • Leer / modificar archivos confidenciales.
  • Intenté escalar privilegios. Después de eso, el atacante ahora puede ejecutar comandos como administrador. ¡Así se completa la adquisición del sistema!

Escalada de privilegios en Prestashop

Prestashop sufrió un problema de escalada de privilegios que se denominó  CVE-2018-13784 . Este problema se debió al mal manejo del cifrado de cookies. Prestashop utilizó el cifrado Blowfish / ECD o AES que era vulnerable a los ataques de relleno. Un atacante podría alterar el contenido de la cookie para obtener privilegios de administrador. Por lo tanto, acceder a los recursos no destinados al atacante. Explotando esto, el atacante puede:

  • Obtenga cualquier sesión de cliente.
  • Robe información confidencial como información del cliente, pedidos, información de tarjeta de crédito, etc.
  • Obtenga acceso al panel de administración a través de CSRF u otros ataques. Además, esto puede conducir a la ejecución remota de código.

Prestashop Redirect Hack

A menudo, los actores maliciosos intentan inyectar código JavaScript de redireccionamiento malicioso. Por lo tanto, cuando los clientes visitan el sitio, generalmente los redirige a sitios para adultos. Aunque a veces podría ser otros sitios que venden productos. O tal vez incluso cosechar clics para el atacante. Especialmente las pequeñas tiendas son las más afectadas. Por lo tanto, un hack de redirección de Prestashop puede:

  • Conseguir que la tienda aparezca en la lista negra de los motores de búsqueda.
  • Redirige hasta el 90 por ciento del tráfico de usuarios.
  • Pérdida de confianza del usuario en la tienda.
  • La disminución de las ventas debido a la redirección de malware.
  • Convierte tu tienda Prestashop en un garaje de spam.

Admin Hack en Prestashop

A menudo, el tablero de Prestashop se piratea debido a fallas en la seguridad de Prestashop. El panel de administración es una de las áreas más sensibles de la tienda. Debe mantenerse oculto al acceso público y con una contraseña segura. Sin embargo, cuando se ve comprometido, podría conducir a:

  • Crear múltiples cuentas de administrador nuevas previamente desconocidas.
  • Cambia la interfaz de usuario del panel de administración.
  • Los complementos de seguridad se desactivan allanar el camino para más ataques.
  • El proveedor de alojamiento suspende la cuenta por abuso.
  • El área de administración muestra una página en blanco o una lista de archivos.

La débil seguridad de Prestashop puede regalar el tablero de administración a los atacantes. A veces, el atacante puede usar puertas traseras para ganar persistencia en la cuenta de administrador. Por lo tanto, cuando se trata de la seguridad de Prestashop, el panel de administración es el recurso más crucial. Por lo tanto, los administradores del sitio deben protegerlo siguiendo las prácticas de seguridad .

Hack de palabras clave de Google en Prestashop

A veces, la tienda puede mostrar páginas o vender productos que originalmente no estaban destinados también. Este es probablemente el caso de una inyección de spam. Los atacantes comprometen la tienda y crean páginas falsas. Estas páginas pueden mostrar productos para adultos o contener contenido en algún otro idioma. Cuando los motores de búsqueda como Google rastrean el sitio web para indexar, estas páginas se enumeran. Por lo tanto, afecta los resultados de búsqueda del sitio.

Entonces, cuando los usuarios buscan un sitio en Internet, los muestra y los redirige a las páginas de spam. Sin embargo, los motores de búsqueda tienen filtros de malware. Como resultado, la tienda puede ser incluida en la lista negra por contenido de spam o malware. Esto advierte a los usuarios cada vez que proceden en el sitio. Por lo tanto, el tráfico de usuarios cae y las ventas caen casi a cero. Algunas de las infecciones típicas de este tipo son el Viagra Cialis hack y el infame Japanese Hack de palabras clave . También se ha observado que los atacantes usan el encubrimiento para evitar la detección. Por lo tanto, la detección de spam es un proceso meticuloso y requiere inspección de código.

Hack de palabras clave japonesas

Hack de tarjeta de crédito en Prestashop

Las transacciones sensibles ocurren en la tienda todos los días. Algunos proveedores optan por almacenar la información de la tarjeta de crédito del usuario, mientras que otros no. Por lo tanto, la base de datos se convierte en un objetivo maduro para los atacantes. Todos los días se detectan varias tarjetas de crédito que roban malware y scripts en la naturaleza. Algunas secuencias de comandos se conectan a la base de datos para robar información de la tarjeta de crédito. La tabla ps_payment_cc contiene columnas sensibles como id_order_payment,card_number,card_brand,card_expiration. El código fuente de uno de estos scripts se proporciona a continuación.secuestro de tarjeta de crédito prestashop

Como se desprende del código, el script usa consultas SQL. Estas consultas extraen información de la tarjeta de crédito de la base de datos. Otra infección de malware conocida es el /vendor/composer/autoload_real.php archivo. Sin embargo, el malware y los scripts no se usan siempre. A veces, el atacante engaña a los usuarios para que realicen ataques de phishing. ¡Por lo tanto, los usuarios deben vigilar las páginas sospechosas!

Para obtener más información sobre el secuestro de tarjetas de crédito en Prestashop, consulte nuestro blog detallado .

Pretashop Hack Removal

Otros ataques

A veces es posible que la instalación principal de Prestashop sea ​​segura, pero las configuraciones del servidor son incorrectas. Por ejemplo,

Credenciales Débiles

Los ataques de fuerza bruta son bastante comunes en las tiendas Prestashop. El objetivo principal de tales ataques es revelar credenciales predeterminadas o débiles.

Puertos abiertos 

Al instalar y configurar el servidor, algunos puertos pueden haber quedado abiertos. Estas son una invitación abierta a los hackers. Algunos motores de búsqueda como shodan rastrean Internet por tales configuraciones erróneas . Los atacantes pueden infectar la tienda desde estos puertos abiertos. Por lo tanto, se recomienda bloquear o filtrar los puertos.

Configuración incorrecta de DNS

A veces, los servidores DNS pueden habilitar transferencias de zona. O, a menudo, algunos subdominios pueden estar sin usar. Los atacantes están constantemente al acecho de tales vulnerabilidades.

Módulos desactualizados 

Al obtener un nuevo módulo, asegúrese siempre de que tenga una buena calificación de la comunidad. Los módulos mal codificados pueden agregar puertas traseras a la tienda. Además, use solo módulos de renombre. Además, si la instalación está desactualizada, es muy propensa a ataques ya que los exploits están disponibles públicamente.

Prestashop Seguridad violada? Envíenos un mensaje en el widget de chat y estaremos encantados de ayudarle con su sitio web de Prestashop. Asegure su sitio web Prestashop ahora .

Las mejores prácticas de seguridad para Prestashop

Hay ciertos métodos para evitar que la tienda Prestashop sea pirateada. Estas prácticas son fáciles pero eficientes. Sin embargo, la posibilidad de un ataque en la tienda Prestashop no se puede evitar por completo. Sin embargo, puede retrasarse adoptando ciertos mecanismos. Algunos de ellos son:

Seguridad de Prestashop: use SSL

Habilitar SSL da un impulso significativo a la seguridad de Prestashop. Es un protocolo estándar para garantizar que las comunicaciones entre la tienda Prestashop y los usuarios sean seguras. SSL funciona utilizando la criptografía de curva elíptica donde se generan dos pares de claves únicos. Esto puede ayudar a prevenir ataques de hombre en el medio en la tienda Prestashop. Para aumentar la seguridad de Prestashop, los administradores pueden comprar un certificado SSL y habilitar SSL en la instalación de Prestashop.

Seguridad de Prestashop: credenciales sólidas

Asegúrese de que la contraseña del panel de administración sea segura. Evite el uso de credenciales predeterminadas o codificadas. Además, algunas contraseñas comunes como admin, contraseña, qwerty, etc. nunca deben usarse. Además, mantenga contraseñas separadas para FTP, cPanel, Dashboard, etc. Es de suma importancia para la seguridad de Prestashop que una contraseña sea muy segura.

Seguridad de Prestashop: archivo .htaccess

Asegúrese de que ningún archivo principal de la tienda Prestashop sea visible públicamente. Además, prohíba las direcciones IP de spam. Todo esto podría lograrse utilizando el archivo .htaccess. Además, este archivo podría ayudar a forzar el uso de HTTPS y prevenir algunos de los ataques de inyección de script. Sin embargo, si hay dificultades para editar el archivo, ¡consulte a un experto !

Seguridad Prestashop: Preferencias

La configuración de preferencias en el tablero puede agregar más a la seguridad de PrestaShop. Las cookies pueden ayudar en la gestión de usuarios. El uso de una cookie hace que sea fácil rastrear a los usuarios e identificar a los usuarios originales de los falsos. Las cookies se pueden habilitar desde las opciones de Preferencias . Además, las cookies podrían ayudar a detectar inicios de sesión falsos. Si la cookie no coincide con la IP para la que se emitió, es probable que sea un atacante. Sin embargo, a menudo la IP cambia dinámicamente. Además, hay otra característica de seguridad de Prestashop llamada Aumentar la seguridad de Front Office . Se puede encontrar en la opción   Preferencias> General . Esta característica garantiza que se asigne una URL de sesión única a cada usuario. De este modo, se detienen los ataques de escalada de privilegios.

Permiso seguro de archivos / carpetas de PrestaShop

Prestashop Security: módulos de seguridad Prestashop

Hay ciertos complementos que pueden ayudar a mejorar la seguridad de Prestashop. Estos complementos pueden:

  • Protege la tienda de ataques conocidos.
  • Bloquee el acceso a la oficina principal. Permitir solo usuarios autorizados.
  • Crea claves únicas para cada compra.
  • Compruebe si los pedidos fueron realizados por bots.
  • Captcha agregado para bloquear bots.
  • Bloquee bots defectuosos e IPs de spam.

Prestashop Security: actualizaciones y copias de seguridad

Mantener la instalación actualizada es la forma más económica de mejorar la seguridad de Prestashop. Por lo tanto, actualice a la última versión estable de Prestashop. Además, las actualizaciones contienen nuevas mejoras de seguridad de Prestashop que se pueden verificar desde los registros de cambios. Además, asegúrese de que su instalación tenga una copia de seguridad. La copia de seguridad ayuda a restaurar archivos en caso de una infección de malware.

Prestashop Security: Prestashop Firewall y Antivirus

Invertir en un buen firewall es un gran avance para asegurar su tienda Prestashop. Fortalece la seguridad de Prestashop y bloquea a los hackers. Los firewalls monitorean todo el tráfico HTTP que va a una tienda Prestashop. Por lo tanto, cualquier intento de intrusión hacia la seguridad de Prestashop se trata fácilmente. Además, el antivirus busca cualquier archivo de instalación de Prestashop infectado. El antivirus también busca puertas traseras dentro de los archivos de Prestashop. Los días de usar un firewall físico son obsoletos. Por lo tanto, muchas empresas pequeñas o grandes, utilizan software de firewall. De las múltiples soluciones en el mercado actual, Astra ofrece un paquete completo. Su firewall también es económicamente viable y escalable para pequeñas empresas. Obtenga una demo ahora!

Cortafuegos funcionando
Cómo Astra Web Application Firewall te protege el sitio web de WordPress

Prestashop Security: Auditoría de seguridad de Prestashop

Como se ve en el artículo, hay varias formas de atacar su tienda Prestashop. Cada año se descubren más y más problemas de seguridad de Prestashop. Entonces, ¿no sería genial si pudieras encontrar lagunas de seguridad de Prestashop antes que el atacante? La solución a esto es una auditoría de seguridad integral de Prestashop y pentesting. Puede revelar múltiples formas de comprometer su tienda Prestashop. Las auditorías de seguridad pueden revelar problemas con el código que podrían conducir a OWASP Top 10. Además, la auditoría de seguridad de Prestashop puede encontrar filtraciones de información confidencial en Internet. Una auditoría de seguridad de rutina significa que la información de la tarjeta de crédito del usuario se mantiene segura en la tienda Prestashop. Además, la auditoría de seguridad incluye el escaneo de complementos de terceros y revela las puertas traseras.

auditoría de seguridad de wordpress, auditoría de seguridad de magento

¿Busca un software de aplicación web confiable para proteger su sitio contra ataques de Prestashop? Póngase en contacto con  el  equipo de seguridad web de Astra para aprovechar la seguridad web completa contra todas las posibles amenazas en línea.

Jinson Varghese

Jinson Varghese

Jinson Varghese Behanan is an Information Security Analyst at Astra. Passionate about Cybersecurity from a young age, Jinson completed his Bachelor's degree in Computer Security from Northumbria University. When he isn’t glued to a computer screen, he spends his time reading InfoSec materials, playing basketball, learning French and traveling. You can follow him on Medium or visit his Website for more stories about the various Security Audits he does and the crazy vulnerabilities he finds.
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

Related Articles

Psst! Hi there. We’re Astra.

We make security simple and hassle-free for thousands
of websites and businesses worldwide.

Our suite of security products include a vulnerability scanner, firewall, malware scanner and pentests to protect your site from the evil forces on the internet, even when you sleep.

earth spiders cards bugs spiders
Astra Security

We make security simple and hassle-free for thousands of websites & businesses worldwide.

See our glowing reviews on

Pentest

Company

Resources

Services

Made with ❤️ in USA France India Germany

Copyright © 2024 ASTRA IT, Inc. All Rights Reserved.

Privacy Policy Terms of Service Report a vulnerability