El famoso tema Warehouse ha tenido un problema de vulnerabilidad siendo posible hackear tu tienda basada en PrestaShop.
¿Cómo saber si han hackeado mi tienda?
Si quieres saber si tu tienda tiene esta vulnerabilidad tienes que probar introducir la siguiente URL en un navegador, sustituyendo tudominio.com por el que corresponda:
http://tudominio.com/modules/simpleslideshow/uploadimage.php
Si en el navegador no ves el texto: «User is not logged in» o «no file» tienes que aplicar la solución que proponen.
Si no estás hackeado:
Los desarrolladores lo detectaron el día 15 de Junio del 2016 e inmediatamente sacaron un parche de seguridad. Los módulos afectados son los siguientes:
- modules/simpleslideshow/slides
- modules/homepageadvertise/slides
- modules/homepageadvertis2/slides
- modules/productpageadverts/slides
- modules/columnadverts/slides
Puedes descargarlo desde aquí: https://drive.google.com/file/d/0B6yfaCTJqFdeYldDNmg0d0Iwd1U/
Es un fichero zip, dentro encontrarás los archivos para PS 1.5 y para 1.6, así como un archivo PDF que explican como hay que instarlos.
El proceso es sencillo, una descargado tendremos una carpeta PrestaShop 1.5 y otra PrestaShop 1.6, deberemos copiar el contenido de cada una de ellas en el directorio modules de nuestra tienda sobreescribiendo los archivos que había anteriormente.
Como siempre os recomiendo hacer una copia de seguridad antes de realizar ningún cambio en nuestra tienda en producción.
Hay casos en los que no se usen todos los módulos del problemáticos, entonces copiaremos sólo los que tengamos instalados.
Esto es exclusivamente para aquellas tiendas online que no hayan actualizado el tema. A partir de la versión 3.7.7 de Warehouse esta solución ya estaba aplicada.
Si ya estás hackeado:
Tendrás que reponer una copia de seguridad del día antes que te hayan hackeado, cambiar todas las contraseñas y usuarios, FTP, administradores de la tienda, etc… y proceder a aplicar lo anterior. Además de revisar todos los archivos de PrestaShop y del tema por si hay expresiones tipo «base64», «eval», etc…
Es tedioso pero es la única forma de asegurarse que no queda nada oculto.
Os dejo un vídeo que muestran como pueden subir archivos a tiendas con este problema (el vídeo ya no está disponible en Youtube y no he encontrado una alternativa)