Un grave problema di sicurezza affligge alcune versioni di Prestashop, è quindi necessario applicare le patch messe a disposizione dal team internazionale per mettere al sicuro il vostro ecommerce, vediamo qual’è il problema di sicurezza, quali versioni sono interessate e come risolverlo senza generare problemi.
Una vulnerabilità nella rigenerazione della password degli utenti
La vulnerabilità riguarda la metodologia adottata per il reset password degli utenti e quindi anche potenzialmente dell’utente admin del negozio, un malintenzionato potrebbe quindi avere accesso al backend del vostro ecommerce.
Nel dettaglio, sarebbe possibile conoscere la prossima password generata randomicamente che lo shop utilizzerà per il reset del prossimo utente che la richiederà.
L’attacco non è molto semplice da sfruttare ma, come spesso fortunatamente accade, informazioni più dettagliate sulla modalità di utilizzo dell’exploit non sono state divulgate in maniera che l’impatto sugli ecommerce sia minore possibile, siete quindi ancora in tempo per porvi rimedio al momento.
Versioni interessate dalla vulnerabilità e modalità di applicazione delle patch
Tutte le versioni di Prestashop, a parte l’ultima release 1.6.1.0, sono interessate da questo bug di sicurezza.
Nello specifico le versioni da aggiornare sono quindi: 1.4.x, 1.5.x e 1.6.x fino alla 1.6.0.14.
Vi consiglio due modalità di aggiornamento del vostro ecommerce con Prestashop:
Primo metodo: l’installazione del modulo securitypatch
Questo è il metodo sicuramente più veloce, scaricate il modulo dal sito ufficiale di Prestashop ed installatelo nel vostro ecommerce lato backend.
C’è solo un piccolo accorgimento da adottare in questo caso, l’installazione del modulo securitypatch sfrutta una funzione di php (exec) che solitamente è disabilitata per motivi di sicurezza sulla maggior parte delle piattaforme di hosting (anche per noi vale questa importante regola).
E' quindi necessario richiedere al proprio provider di abilitarla affinchè possiate installarlo correttamente. Nel nostro caso vi basterà aprire un ticket di assistenza tecnica dal nostro pannello di controllo https://cp.joomlahost.it
Secondo metodo: sovrascrivere i file interessati alle modifiche
Nel caso il vostro provider non volesse attivarvi la funzione exec di php (dispettosi eh) solo per eseguire l’installazione del modulo securitypatch, è comunque possibile applicare le patch di sicurezza sovrascrivendo i file interessati.
Potete scaricare i files da questi link ufficiali su github, in base alle versioni di cui intendete eseguire l’aggiornamento:
Vi basterà quindi estrarre lo zip che scaricherete e caricarlo così com’è nella root del vostro sito in Prestashop.
Attenzione perchè se siete consapevoli di aver modificato questi file per vostre esigenze lavorative, dovrete eseguire una verifica molto più approfondita, trovate delle utili istruzioni alla sezione “Do it yourself” di questa pagina ufficiale delle patch di Prestashop su github.
Conclusioni
Anche in periodo estivo i webmaster e le webagency non possono dormire sonni tranquilli e devono sempre essere aggiornati sulle novità importanti ed utili per vivere tranquillamente il loro business.
Noi di Colt Engine srl crediamo molto nel ruolo del provider di hosting come “collaboratore” del business dei nostri clienti, abbiamo avvisato tutti i nostri clienti che utilizzano Prestashop via mail e scrivendo questo articolo, comunicandogli le modalità di aggiornamento del loro ecommerce.
L’articolo è stato utile o potrebbe essere utile a qualcuno che conosci? Condividilo nella tua rete sociale e lascia il tuo parere nei commenti!
