¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Tutorial de seguridad para Prestashop 2020-2021

10 Mins read

El comercio electrónico ha cobrado impulso en estos últimos años. Como resultado, han surgido múltiples plataformas en línea como Magento, Opencart y Prestashop. Prestashop ha ido ganando popularidad a nivel mundial gracias a su naturaleza de código abierto. Sin embargo, como cualquier tienda en línea, la máxima prioridad para los clientes es la seguridad en Prestashop. Aquí tienes una completa guía de seguridad en Prestashop.

Amenazas de seguridad en Prestashop

Si bien configurar Prestashop es fácil, se necesita mucha precaución para mantenerlo seguro. Las tiendas en línea generalmente administran información confidencial, como los datos de las tarjetas de crédito, y las empresas tienen una gran responsabilidad de tratar esos datos de forma segura.

Los atacantes están constantemente en juego para robar estos datos y venderlos en la web oscura a precios muy baratos. Para mantener segura la tienda de Prestashop y evitar la pérdida de datos, echemos un vistazo a las formas en que se puede explotar la seguridad de Prestashop.

Inyección SQL

Se expuso una vulnerabilidad SQLi en Prestashop. Esto ocurrió debido a la falta de desinfección de entrada en uno de sus módulos. El módulo vulnerable era Responsive Mega Menu (Horizontal + Vertical + Dropdown).

Se podría inyectar un SQLi a través de llamadas a funciones en el parámetro de código. Esto se denominó CVE-2018-8824.

Al usar SQLi, el atacante puede:

  • Leer contenido de la base de datos.
  • Descubrir los detalles de inicio de sesión del usuario y luego iniciar sesión como administrador.
  • Robar la información de la tarjeta de crédito del usuario en caso de que se haya almacenado localmente.
  • Realizar otros ataques a partir de la información confidencial obtenida de la base de datos.

Scripting entre sitios 

Se han encontrado múltiples fallos XSS en Prestashop. Una vulnerabilidad descubierta a principios de año se denominó CVE-2018-5681. Sin embargo, requería que el atacante iniciara sesión en el sistema primero para poder explotarlo.

La otra vulnerabilidad XSS más grave estaba en el módulo Formulario de contacto. Era más severo ya que era de naturaleza persistente. Esta vulnerabilidad permitió omitir la isCleanHtml()función. Podría omitirse mediante la codificación base64. Además, esto se puede utilizar para inyectar códigos HTML.

Toda la entrada proporcionada en la imagen está en formato base64. Por lo tanto, todos los mensajes enviados mediante el formulario de contacto serán visibles para el administrador después de iniciar sesión. Entonces, al usar esto, un atacante puede:

  • Inyectar el código malicioso en los mensajes.
  • Cargar scripts de robo de cookies de administración de un dominio malicioso.
  • Después de obtener la cookie, el atacante puede iniciar sesión como administrador.
  • Esto abre el sitio a todo tipo de ataques adicionales.
  • Además, el atacante puede conectar el navegador del administrador y ejecutar exploits del navegador.

Ejecución remota de código 

Prestashop sufrió una vulnerabilidad RCE este año. El módulo responsable fue Responsive Mega Menu Pro. Este problema permitía a los atacantes ejecutar código PHP arbitrariamente en el servidor. Usando esto, el atacante podría:

  • Ejecutar comandos PHP en el servidor.
  • Leer / modificar archivos sensibles.
  • Intentar aumentar los privilegios. Después de eso, el atacante puede ejecutar comandos como administrador.

Escalada de privilegios 

Prestashop sufrió un problema de escalada de privilegios que se denominó CVE-2018-13784. Este problema se debió al mal manejo del cifrado de cookies. Prestashop utilizó cifrado Blowfish / ECD o AES que era vulnerable a los ataques de relleno. Un atacante podría alterar el contenido de la cookie para obtener privilegios de administrador. Por lo tanto, acceder a los recursos no destinados al atacante.

Aprovechando esto, el atacante puede:

  • Conseguir cualquier sesión de cliente.
  • Robar información confidencial, como información de clientes, pedidos, información de tarjetas de crédito, etc.
  • Obtener acceso al panel de administración a través de CSRF u otros ataques. Además, esto puede llevar a la ejecución remota de código.

Hack de redireccionamiento 

A menudo, los agentes malintencionados intentan inyectar código JavaScript de redireccionamiento malintencionado. Por lo tanto, cuando los clientes visitan el sitio, generalmente los redirige a sitios para adultos. Aunque en ocasiones podrían ser otros sitios que vendan productos. O tal vez incluso recolectando clics para el atacante. Especialmente las tiendas pequeñas son las más afectadas.

Por lo tanto, un truco de redireccionamiento de Prestashop puede:

  • Incluir a la tienda en la lista negra de los motores de búsqueda.
  • Redirigir hasta el 90 por ciento del tráfico de usuarios.
  • Pérdida de confianza del usuario en la tienda.
  • La disminución de las ventas debido a la redirección de malware.
  • Convierte tu tienda Prestashop en un garaje de spam.

Admin Hack 

A menudo, el tablero de Prestashop es pirateado debido a fallos en la seguridad de Prestashop. El panel de administración es una de las áreas más sensibles de la tienda. Debe mantenerse oculto al acceso público y con una contraseña segura.

Sin embargo, cuando se ve comprometido, podría conducir a:

  • Creación de múltiples cuentas de administrador nuevas previamente desconocidas.
  • Cambia la interfaz de usuario del panel de administración.
  • Los complementos de seguridad se desactivan allanando el camino para más ataques.
  • El proveedor de alojamiento suspende la cuenta por abuso.
  • El área de administración muestra una página en blanco o una lista de archivos.
  • La seguridad débil de Prestashop puede ceder el panel de administración a los atacantes. A veces, el atacante puede usar puertas traseras para obtener persistencia en la cuenta de administrador. Por lo tanto, cuando se trata de la seguridad de Prestashop, el panel de administración es el recurso más crucial. Los administradores del sitio deben protegerlo siguiendo las prácticas de seguridad.

Hack de palabras clave de Google 

A veces, la tienda online puede mostrar páginas o vender productos que originalmente no estaban destinados. Es muy probable que este sea el caso de una inyección de spam. Los atacantes comprometen la tienda y crean páginas falsas. Estas páginas pueden mostrar productos para adultos o contener contenido en algún otro idioma. Cuando los motores de búsqueda como Google rastrean el sitio web para indexar, estas páginas se enumeran. Por tanto, afecta a los resultados de búsqueda del sitio.

Entonces, cuando los usuarios buscan un sitio en Internet, los muestra y los redirige a las páginas de spam. Sin embargo, los motores de búsqueda tienen filtros de malware.

Como resultado, la tienda puede ser incluida en la lista negra por contenido de spam o malware. Esto advierte a los usuarios cada vez que ingresan al sitio. Por tanto, el tráfico de usuarios se desploma y las ventas caen casi a cero. Algunas de las infecciones típicas de este tipo son el hack de Viagra Cialis y el infame Japanese Keyword Hack.

También se ha observado que los atacantes utilizan el encubrimiento para evitar ser detectados. Por lo tanto, la detección de spam es un proceso meticuloso y requiere inspección de código.

Hack de tarjetas de crédito

Las transacciones sensibles ocurren en la tienda todos los días. Algunos proveedores optan por almacenar la información de la tarjeta de crédito del usuario, mientras que otros no.

Por tanto, la base de datos se convierte en un objetivo propicio para los atacantes. Todos los días se detectan varios programas maliciosos y scripts que roban tarjetas de crédito. Algunas secuencias de comandos se conectan a la base de datos para robar información de tarjetas de crédito.

El script utiliza consultas SQL. Estas consultas extraen información de la tarjeta de crédito de la base de datos. Otra infección de malware conocida es el /vendor/composer/autoload_real.php archivo. Sin embargo, el malware y los scripts no siempre se utilizan. A veces, el atacante engaña a los usuarios para que realicen ataques de phishing. Por lo tanto, los usuarios deben estar atentos a las páginas sospechosas.

Otros ataques

A veces, es posible que la instalación principal de Prestashop sea ​​segura pero las configuraciones del servidor sean incorrectas. Por ejemplo,

Credenciales débiles

Los ataques de fuerza bruta son bastante habituales en las tiendas Prestashop. El objetivo principal de estos ataques es revelar credenciales débiles o predeterminadas.

Puertos abiertos

Al instalar y configurar el servidor, es posible que algunos puertos se hayan dejado abiertos. Se trata de una invitación abierta a los piratas informáticos. Algunos motores de búsqueda como Shodan rastrean Internet en busca de configuraciones erróneas. Los atacantes pueden infectar la tienda desde estos puertos abiertos. Por lo tanto, se recomienda bloquear o filtrar los puertos.

Mala configuración de DNS

A veces, los servidores DNS pueden permitir transferencias de zona. O, a menudo, algunos subdominios no se utilizan. Los atacantes están constantemente al acecho de tales vulnerabilidades.

Módulos obsoletos

Al obtener un nuevo módulo, asegúrate siempre de que tenga una buena calificación de la comunidad. Los módulos mal codificados pueden agregar puertas traseras a la tienda. Además, utiliza únicamente módulos reconocidos. Si la instalación está desactualizada, es muy propensa a sufrir ataques, ya que los exploits están disponibles públicamente.

¿Cómo proteger mi tienda PrestaShop?

Existen ciertos métodos para evitar que la tienda Prestashop sea pirateada. Estas prácticas son fáciles y eficientes. Sin embargo, la posibilidad de un ataque a la tienda Prestashop no se puede evitar por completo aunque podemos reducir los riesgos adoptando una adecuada política de seguridad. Pero se puede retrasar adoptando ciertos mecanismos. Algunos de ellos son:

Uso de SSL

Habilitar SSL da un impulso significativo a la seguridad de Prestashop. Es un protocolo estándar para garantizar que las comunicaciones entre la tienda Prestashop y los usuarios sean seguras.

SSL funciona utilizando la criptografía de curva elíptica donde se generan dos pares de claves únicos. Esto puede ayudar a prevenir ataques man-in-the-middle en la tienda Prestashop. Para aumentar la seguridad de Prestashop, los administradores pueden comprar un certificado SSL y habilitar SSL en la instalación de Prestashop.

Credenciales sólidas

Asegúrate de que la contraseña del panel de administración sea segura. Evita el uso de credenciales predeterminadas o codificadas. Además, algunas contraseñas comunes como admin, contraseña, qwerty, etc. nunca deben usarse.

Mantén contraseñas separadas para FTP, cPanel, Dashboard, etc. Es de suma importancia para la seguridad de Prestashop que una contraseña sea muy segura.

Ocultar archivos principales con .htaccess

Asegúrate de que ningún archivo principal de la tienda Prestashop sea visible públicamente. Además, prohíbe las direcciones IP de spam. Todo esto se puede lograr usando el archivo .htaccess. Este archivo podría ayudar a forzar el uso de HTTPS y prevenir algunos de los ataques de inyección de scripts.

Establecer preferencias

La configuración de preferencias en el tablero puede agregar más a la seguridad de PrestaShop. Las cookies pueden ayudar a administrar a los usuarios.

El uso de una cookie facilita el seguimiento de los usuarios e identifica a los usuarios originales de los falsos. Las cookies también pueden ayudar a detectar inicios de sesión falsos. Si la cookie no coincide con la IP a la que se emitió, es probable que sea un atacante. Sin embargo, muchas veces la IP cambia dinámicamente, lo que también debe tenerse en cuenta.

Las cookies se pueden habilitar desde las opciones de Preferencias. O se puede instalar mediante un módulo. Hay decenas de módulos de barra de cookies y PrestaShop GDPR gratuitos y de pago que puedes utilizar.

Además, hay otra función de seguridad de Prestashop llamada Aumentar la seguridad de Front Office. Se puede encontrar en la opción Preferencias> General. Esta función garantiza que se asigne una URL de sesión única a cada usuario. De esta forma, se detienen los ataques de escalada de privilegios.

Cambiar la URL de administrador predeterminada

Todo el mundo, incluido el pirata informático, conoce la ruta al backend de tu tienda si lo dejas sin cambios al original. No cambiar su URL de administrador abre la caja de Pandora para tu tienda, que se vuelve vulnerable a fuerza bruta, ejecución de código y omisión de seguridad.

Por lo tanto, siempre es más seguro cambiar la URL predeterminada. Esto haría que el backend de tu tienda sea inaccesible para cualquier persona que no seas tú.

Permiso seguro de archivos / carpetas de PrestaShop

Los archivos y carpetas de PrestaShop deben protegerse de accesos arbitrarios. La forma más sencilla de hacerlo es configurando los permisos correctos de archivos y directorios para los archivos de tu tienda. El permiso recomendado para los archivos de la tienda PrestaShop es 644 y el mismo para las carpetas es – 755.

Instalar módulos de seguridad de Prestashop

Hay ciertos complementos que pueden ayudar a mejorar la seguridad de Prestashop. Estos complementos pueden:

  • Proteger la tienda de ataques conocidos.
  • Bloquear el acceso a la oficina principal. Permitir solo usuarios autorizados.
  • Crear claves únicas para cada compra.
  • Comprobar si los pedidos fueron realizados por bots.
  • Captcha agregado para bloquear bots.
  • Bloquea bots maliciosos y direcciones IP de spam.

Algunos módulos efectivos de seguridad PrestsShop que se pueden añadir a la seguridad de su sitio web son – re Captcha – Anti Spam – Reconocer texto – representa falsa anti módulo, Oficial GDPR cumplimiento por PrestaShop Módulo, tienda fijador por Astra , Astra firewall y de Malware.

Actualizaciones y copia de seguridad

Mantener la instalación actualizada es la forma más barata de mejorar la seguridad de Prestashop. Por lo tanto, actualiza a la última versión estable de Prestashop. Además, las actualizaciones contienen nuevas mejoras de seguridad de Prestashop que se pueden verificar en los registros de cambios.

Asegúrate de que tu instalación tenga una copia de seguridad. La copia de seguridad ayuda a restaurar archivos en caso de una infección de malware.

Firewall y Antivirus de Prestashop

Invertir en un buen firewall es un gran avance para proteger tu tienda Prestashop. Refuerza la seguridad de Prestashop y bloquea a los piratas informáticos. Los firewalls monitorizan todo el tráfico HTTP que va a una tienda Prestashop.

Por lo tanto, cualquier intento de intrusión hacia la seguridad de Prestashop se resuelve fácilmente. Además, el antivirus busca cualquier archivo de instalación de Prestashop infectado. El antivirus también busca puertas traseras dentro de los archivos de Prestashop.

Los días de usar un firewall físico están obsoletos. Muchas empresas, pequeñas o grandes, utilizan software de firewall.

Auditoría de seguridad de Prestashop

Como hemos visto, hay varias formas de atacar tu tienda Prestashop. Cada año se descubren más y más problemas de seguridad de Prestashop.

Entonces, ¿no sería genial si pudieras encontrar lagunas de seguridad de Prestashop antes de que lo haga el atacante? La solución a esto es una auditoría y pentesting de seguridad integral de Prestashop. Puede revelar múltiples formas de comprometer tu tienda Prestashop.

Las auditorías de seguridad pueden revelar problemas con el código. Además, la auditoría de seguridad de Prestashop puede encontrar filtraciones de información confidencial a través de Internet. Una auditoría de seguridad de rutina significa que la información de la tarjeta de crédito del usuario se mantiene segura en la tienda Prestashop. Además, la auditoría de seguridad incluye el escaneo de complementos de terceros y revela cualquier puerta trasera.

*También te puede interesar

Yolanda González

About author
Graduada en Derecho por la Universidad de León y Máster en Abogacía por la Universidad de Oviedo. Especializada en realizar adaptaciones y auditorías conforme a la normativa de protección de datos para todo tipo de empresas y sectores.
Articles
Related posts
Ciberseguridad

¿Qué es el flaming en Internet?

8 Mins read
Dentro de la investigación del comportamiento en Internet, existen múltiples formas de acoso en la red. Dentro de estos tipos de acoso…
Ciberseguridad

Ingeniería social: Riesgos para los datos del individuo

11 Mins read
El concepto de ingeniería social con respecto a la seguridad de la información se refiere directamente al robo de datos mediante la…
CiberseguridadInternet

Todo sobre TOR o The Onion Router

9 Mins read
En el actual clima de recopilación de datos y preocupaciones de privacidad, el navegador Tor se ha convertido en tema de discusión…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.