Cómo instalar manualmente la actualización de seguridad de PrestaShop (Password security fix)

La comunidad de PrestaShop contra las vulnerabilidades

patch_secu-657x345

Gracias a la comunidad de usuarios de PrestaShop se ha descubierto una vulnerabilidad de seguridad que afecta todas las versiones de PrestaShop anteriores a la 1.6.1.0. La página oficial ha publicado información relativa al mismo, con indicaciones sobre como solventarla.

Se trata de un problema relativo a la aleatoriedad del algoritmo de generación de contraseñas, suponiendo un grave problema de vulnerabilidad en el acceso a la administración de tu tienda online. No lo dejes pasar, es importante.

El principal método para protegerse es actualizar a la versión  1.6.1.0 de PrestaShop, pero no siempre esto se puede hacer tan alegremente.

Si no puedes actualizar, instala el parche de seguridad

Por suerte para los que no quieren o pueden actualizar a la última versión de PrestaShop existe un módulo Parche de Seguridad (securitypatch) para solventar el fallo de seguridad sin actualizar la versión de PrestaShop.

Sin embargo, al instalar este módulo en la administración de PrestaShop, probablemente muchos os habréis encontrado con la imposibilidad de poder completar la instalación y con este mensaje de error en el back office:

The security update could not be applied to your shop. The module cannot execute the patch on your server configuration. Please check the details below for each update to see how you can implement the patch on your shop.

La seguridad ante todo

¡Que no cunda el pánico! Para que quede claro: este error se produce porque que la mayoría de los proveedores de hosting donde se alojan nuestras tiendas online, por seguridad, no tienen habilitada la función exec() que usa este módulo tan especial.

Gracias a Webempresa y a su excelente soporte técnico, hemos conseguido actualizar todas nuestras tiendas online realizadas con PrestaShop. Nos han indicado la mejor manera de proteger nuestras instalaciones de PrestaShop usando el parche y os lo contamos a continuación.

Guía para aplicar el parche de seguridad de PrestaShop y evitar el error de servidor

Si no queremos o no podemos actualizar nuestra versión de PrestaShop, la alternativa para estar protegidos de esta vulnerabilidad es sustituir a mano los ficheros vulnerables por los corregidos. Estos son los 4 ficheros afectados:

– classes/customer.php
– classes/tools.php
– controllers/admin/adminlogincontroller.php
– controllers/front/passwordcontroller.php

Los pasos para realizar el cambio son los siguientes:

  • Descargar el fichero .zip (dependiendo de la versión que tenga nuestra tienda) desde este Git: Password security fix
  • Descomprimir el paquete y sustituir los cuatro ficheros a través de la FTP.
  • No olvides guardar copia de seguridad de los cuatro ficheros originales o renombrarlos.
Captura Git - Pasword security fix

Captura Git – Pasword security fix

Esperamos que esta pequeña guía sobre como aplicar el parche de seguridad para PrestaShop os haya servido y nos contéis qué tal os ha funcionado.

*ACTUALIZACIÓN*

En el foro oficial de PrestaShop nos indican que si contamos con otras versiones que no sean la 1.6.0.14, la 1.5.6.2 o la 1.4.11.0 podemos también aplicar el parche sin actualizar a la última versión manipulando directamente los ficheros afectados por la vulnerabilidad.

Rafa Ceres de Capys.es nos enseña paso a paso cómo hacerlo en este post:
¿Cómo instalo la actualización de seguridad de Prestashop sin actualizar?