Skip to main content

Actualización de seguridad para PrestaShop

By 25 agosto, 2011Blog

El pasado 24 de agosto de 2011 la web oficial de PrestaShop fue hackeada, resultado de la inserción de un script malintencionado que se aprovechaba de un problema en la zona de administración o intranet de las tiendas desarrolladas con esta solución de código abierto.
Dada la gravedad de este hecho se trabajo de forma rápida en identificar el problema para corregirlo completamente.

¿Cómo puedo saber si mi tienda online está infectada?

Solo están afectadas las tiendas online PrestaShop en las versiones 1.4, 1.4.1, 1.4.2, 1.4.3 y 1.4.4, por lo que no necesariamente todas las tiendas ha sufrido de este error.

Si estás usando una de esas versiones, por favor sigue estos paso para poder conocer los síntomas y si estás afectado:

  • Existencia de un fichero her.php en el raíz de la carpeta /modules
  • Un fichero .php diferente de index.php en la carpetas de subidas y descargas
  • Tu fichero footer.tpl ha sido modificado
  • Y la carpeta tools/smartyv2 ha desaparecido

Si cumples estas condiciones es muy posible que tu tienda este infectada. Ahora te diremos como solucionarlo con unas sencillas instrucciones.

¿Qué debo hacer para solucionar el hackeo de mi tienda online?

  1. Cambiar la contraseña de la base de dates (o contactar con tu proveedor de internet si no sabes como hacerlo). Una vez hecho esto, abrir el fichero settings.inc.php en la carpeta /config y remplazar tu contraseña antigua por una nueva. Busca «define(‘_DB_PASSWD_’)» para actualizarla.
  2. Descargar la solución al problema (herfix.php) publicada en el sitio de PrestaShop.
  3. Subir el fichero herfix.php al raíz de la ubicación de tu PrestaSHOP por FTP.
  4. Ir a la dirección http://www.viverosferca.com/tienda/herfix.php (cambiar viverosferca.com por el dominio y ruta correspondiente si procede).
  5. Esto corregirá los problemas. Por favor no olvides después eliminar fichero herfix.php del raíz de tu tienda.
  6. Por seguridad renombre la carpeta de administración o intranet.
  7. Cambiar todas las contraseñas de cuentas administrador.
  8. Adicionalmente desde Color vivo recomendamos revisar las caches para evitar dejar restos del hackeo. Por ejemplo revisar en /themes/ dentro del tema/plantilla utilizado si existe cache y eliminar su contenido.

Si necesitas más ayuda contacta con tu proveedor de Internet o empresa de desarrollo y diseño. Si necesitas ayuda nuestra puedes escribirnos a través de nuestro formulario de contacto.

admin

Author admin

More posts by admin

Color Vivo Internet S.L.

¿Qué empresa trata tus datos?

COLOR VIVO INTERNET, S.L. (en adelante, el “TITULAR”).

¿Por qué tratamos los datos que te pedimos?

Tratamos tus datos para poder prestarte los servicios del TITULAR, enviarte información sobre nuestros productos y/o servicios y atender a las solicitudes de información, quejas, sugerencias o cualquier asunto que el Usuario desee enviar a través del formulario de contacto del Sitio Web. +info

¿Cuál es la legitimación para este tratamiento de tus datos?

Estos datos son necesarios para llevar a cabo la prestación de los servicios que se hayan solicitado a través del Sitio Web, así como el consentimiento que nos hayas otorgado conforme a nuestra Política de Privacidad y para la ejecución de un Contrato. +info

¿Se van a hacer cesiones o transferencias con tus datos?

No, tus datos no podrán cederse a terceras empresas. +info

¿Cuáles son mis derechos?

El interesado tiene derecho a ejercitar su derecho de:

¿Se utilizan tus datos para hacer perfilados o segmentaciones?

No, el TITULAR no llevará a cabo técnicas de profiling con tus datos +info

¿Tienes dudas?

Tanto si tienes alguna duda o sugerencia como si quieres darte de baja ponte en contacto con nosotros enviando un email a la siguiente dirección: dpo@colorvivo.com ++info

×