Oggi alle 12 ore italiane è arrivato l’annuncio di un problema di sicurezza di PrestaShop che si ha su tutte le versioni precedenti alla 1.6.1, l’ha comunicato proprio PrestaShop sul suo blog ufficiale https://www.prestashop.com/blog/en/prestashop-security-release/. Il bug di sicurezza è stato scoperta da Vincent Herbulot.
Noi come agenzia certificata PrestaShop eravamo già stati allertati di questo problema ed ora toccherà aggiornare tutti i shop con questa patch o con il modulo.
Arriviamo al dunque, PrestaShop ha creato un modulo che può essere installato nell’ultima versione di ogni release, fate attenzione a questa affermazione in quanto non è detto che funzioni al 100%, perché se voi o il vostro programmatore avete modificato il core di PrestaShop e/o fatto degli override ci potrebbero essere dei problemi di compatibilità.
Al momento l’unica versione “sicura” è la 1.6.1. che è già modificata e quindi non presenta questo problema di vulnerabilità, mentre per tutte le release precedenti il problema è presente. Inoltre se avete una versione precedente alla 1.4 dovete aggiornare per forza PrestaShop altrimenti il rischio di essere “bucati” è maggiore.
Quando fate un aggiornamento vi consiglio sempre di leggere il change log delle varie versioni per capire cosa vanno a modificare e se rischiate che qualche modulo o modifica fatta da voi vada in conflitto.
Cosa possiamo fare?
La prima soluzione proposta da PrestaShop che non sempre è facile è di aggiornare il vostro shop alla 1.6.1 ed il problema è risolto, e sicuramente hanno ragione è la soluzione più consigliata, ma allo stesso tempo quella più faticosa in quanto prevede una fase di test per accertarsi che tutto funzioni nel modo corretto. Infatti quando aggiorniamo una versione di PrestaShop ad una release maggiore non è sempre un gioco da ragazzi.
La seconda soluzione proposta da loro e aggiornare PrestaShop all’ultima versione della release maggiore quindi: 1.4.11.0 – 1.5.6.2 – 1.6.0.14 solo per queste 3 versioni potete scaricare il modulo naturalmente come indicato sempre in tutti i miei articoli prima di procedere fate un backup della base dati per evitare brutte sorprese, in particolare se siete già a conoscenza di override o di modifiche al core di PrestaShop fate un backup completo anche dei dati FTP per essere sicuri di poter ripristinare eventualmente il tutto. Oppure sempre per queste versioni ci sono delle patch
La terza soluzione dedicata agli sviluppatori è un poco più impegnativa ma probabilmente l’unica sicura, in particolare se non volete aggiornare PrestaShop, la trovate qui.
Naturalmente il mio consiglio è sempre di affidare ad un’esperto la manutenzione del vostro shop online per evitare brutte sorprese.
Inoltre PrestaShop ci indica 4 consigli per essere meno vulnerabile:
- Aggiorna il tuo shop e i tuoi moduli sempre all’ultima versione disponbile.
- Proteggi il tuo backoffice con password da .htaccess
- non usare per la cartella del tuo backoffice un nome sempre come /admin1234
- Utilizza sempre delle password complesse (utilizzare numeri, maiuscole e caratteri speciali) per il tuo shop ed univoche.
Ora vi lascio perché mi tocca aggiornare circa 200 shop in PrestaShop e auguro a tutti un buon lavoro.