Magento, una de las plataformas más extendidas a nivel mundial para tiendas Online, cuenta entre sus nuevas actualizaciones, con una nuevo parche de seguridad considerado como crítico, ya que soluciona más de 9 fallos que podrían en riesgo la seguridad de la tienda online.
El número de ataques debido a estos fallos de seguridad han crecido exponencialmente según podemos ver en la gráfica cedida por Gata Security Labs.
El parche conocido con la nomenclatura SUPEE-6788 soluciona los siguientes riesgos:
1. Vulnerabilidad grave, los mensajes de logs del sistema de Magento durante el proceso de instalación pueden volcar información de la cadena de conexión con la base de datos, dejando contraseñas de MySQL en texto claro usable por nuestros atacantes.
2. Vulnerabilidad grave, la funcionalidad de filtro de plantillas de correo electrónico permitiría que, mediante un ataque, podrían acceder a los emails de cambio de usuarios o notificaciones de contraseñas.
3. Vulnerabilidad grave, un fallo en el framework de Magento "Zend Framework" podría permitir el acceso a los archivos "xml" de configuración.
4. Vulnerabilidad grave, ataque por infección de SQL que podría permitir que extensiones externas al núcleo puedan realizar consultas directas a la base de datos extrayendo información de ventas o clientes.
5. Vulnerabilidad grave, error en la ejecución de tareas programadas mediante "cron.php", un atacante que podría ejecutar un exploits colocado en el directorio de la tienda.
6. Vulnerabilidad media, posibilidad de inyección de código malicioso en los campos personalizados, están en riegos aquellas tiendas online con uso de este tipo de campos. El fallo permitiría el acceso a ficheros de instalación del sistema.
7. Vulnerabilidad media, Cross Site Scripting , error en el frontend de la tienda que permitiría la ejecución de código XSS.
8. Vulnerabilidad media, ejecución de código usando informes de error y productos descargados de la tienda.
9. Vulnerabidad baja, es posible detectar la url de administración que, posteriormente, un atacante podría usar para realizar un ataque de fuerza bruta mediante intentos de usuarios y contraseñas.
10. Protección insuficiente en el restablecimiento de contraseñas. El token de generación de contraseñas no es deshabilitado, lo que podría permitir el robo de credenciales.
11. Fallo en la carpeta "dev" de Magento, carece de un archivo htaccess que impida el acceso desde el navegador, es un directorio que debe ser protegido de exploración y buscadores.
12. Cross Scripting, envenenamiento de caché. La información de pasarelas de pago y páginas de la tienda online eran almacenadas en cache, esto supone un riesgo ya que un ataque podría permitir el acceso a estos archivos que almacenan información de tarjetas de crédito y datos de usuario. Sin duda, esta es una de las vulnerabilidades más críticas y que deben solventarse de inmediato.
Magento propone una serie de prácticas de seguridad para mantener nuestra tienda online a salvo. Si se precisa de mantenimiento o de una actuación de expertos en Magento, puede contactar con digitalDot para planificar su proceso de actualización, así como un plan de contingencias para mantener a salvo tanto la tienda como los clientes que la usan.
Como pueden comprobar, los parches de esta actualización solo llegan hasta la versión de Magento 1.7, por lo que se recomienda si tiene una versión inferior, realizar un Upgrade completo de la versión hasta la 1.9.2.
Si lo desea, puede buscar todas las últimas versiones, así como parches de seguridad para su tienda online en:
Este fallo no dicta que Magento se haya convertido en una plataforma Ecommerce no apta para tiendas Online, todo lo contrario, sigue siendo una gran apuesta. Las tendencias de esta Ecommerce van en aumento fuera de España, lo cual lo hace un gran competidor frete a Prestashop o Woocomerce.
Entre algunas de las ventajas que ofrece esta plataforma, se encuentran su experiencia en el sector, la cantidad de extensiones y de los que podremos dotar a nuestra tienda, su sistema de WebService para integrarlo con programas de facturación, ERP o sistemas de Logística de Almacén.
Otra gran ventaja, es su facilidad de desarrollo y su integración con su versión para la comunidad Multitienda.
Actualmente, se cifra que en todo el mundo se cuenta con unas 200.000 tiendas de las cuales un 30% se cifra en esta Ecommerce.
Volviendo al fallo de seguridad descubierto, recomendamos su actualización de inmediato, ya que existen kits de exploits como Nuclear, Angler y Neutrino, que están difundiéndose desde el 17 de Octubre.
Para cualquier duda o problema, no dude en contactar con el equipo de mantenimiento y soportede digitalDot.
Gracias.
Contenido
digitalDot utiliza cookies propias y de terceros, como la realización de perfiles, para mejorar nuestros servicios, elaborar información estadística y analizar tus hábitos de navegación. Puedes aceptarlas con el botón "Aceptar", configurarlas con el botón "Configurar" o rechazar su uso con el botón "Rechazar". Encuentra más información en nuestra Política de cookies.
Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. Fuera de estas cookies, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web.
También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Esta categoría solo incluye cookies que garantizan funcionalidades básicas y características de seguridad del sitio web. Estas cookies no almacenan ninguna información personal.
Cookie
Duración
Descripción
__cf_bm
30 minutos
La cookie se utiliza para apoyar la gestión de bots de Cloudflare.
_GRECAPTCHA
6 meses
Se ejecuta con el fin de proporcionar su análisis de riesgos.
cookielawinfo-checkbox-analiticas
1 año
Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Analítica".
cookielawinfo-checkbox-funcional
1 año
La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria
1 año
Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesaria".
cookielawinfo-checkbox-publicitarias
1 año
Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicitarias".
Las cookies estadísticas se utilizan para entender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre las métricas del número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
Cookie
Duración
Descripción
_ga
2 años
La funcionalidad es almacenar y contar páginas vistas.
_gat
1 día
Registra una identificación única que se utiliza para generar datos estadísticos acerca de cómo utiliza el visitante el sitio web.
_gid
1 día
Registra una identificación única que se utiliza para generar datos estadísticos acerca de cómo utiliza el visitante el sitio web.
1P_JAR
1 semana
Transfiere datos a Google.
caosLocalGa
1 mes
Son cookies propias, de análisis y persistentes, proporcionadas por el plugin Complete Analytics Optimization Suite, y se usan para optimizar la distinción de los usuarios en relación con el servicio de terceros Google Analytics.
caosLocalGa_gid
1 mes
Son cookies propias, de análisis y persistentes, proporcionadas por el plugin Complete Analytics Optimization Suite, y se usan para optimizar la distinción de los usuarios en relación con el servicio de terceros Google Analytics.
Son aquellas que recaban información sobre los anuncios mostrados a los usuarios del sitio web. Pueden ser de anónimas, si solo recopilan información sobre los espacios publicitarios mostrados sin identificar al usuario o, personalizadas, si recopilan información personal del usuario de la tienda por parte de un tercero, para la personalización de dichos espacios publicitarios.
Cookie
Duración
Descripción
_fbp
3 meses
Cookie de Facebook. Se utiliza para almacenar y realizar un seguimiento de las visitas en los sitios web.
AID
2 años
Mide el rendimiento de los anuncios y proporciona recomendaciones.
APISID
2 años
Mide el rendimiento de los anuncios y proporciona recomendaciones.
DV
Sesión
Identifica al usuario si está logueado con su cuenta de Google
HSID
2 años
Identifica al usuario si está logueado con su cuenta de Google
NID
6 meses
Identificación única que Google utiliza para recordar preferencias y otra información como el idioma.
OTZ
1 mes
Permiten optimizar y personalizar los anuncios mostrados al navegar. Sirve para analizar pautas de tráfico a la web, duración de la sesión del navegador. Está relacionada con el sistema de publicidad personalizada de Google Adwords.
SAPISID
2 años
Mientras permanezca con esta sesión activa, Google hará uso de esta cookie para mejorar su experiencia de uso.
SID
2 años
Mientras permanezca con esta sesión activa, Google hará uso de esta cookie para mejorar su experiencia de uso.
SIDCC
1 año
Mientras permanezca con esta sesión activa Google hará uso de esta cookie para mejorar su experiencia de uso.
SNID
6 meses
Remarketing.
SSID
2 años
Mientras permanezca con esta sesión activa, Google hará uso de esta cookie para mejorar su experiencia de uso.
TAID
10 días
Mientras permanezca con esta sesión activa, Google hará uso de esta cookie para mejorar su experiencia de uso.
Las cookies funcionales ayudan a realizar ciertas funcionalidades la visualización de los mapas de google que muestran nuestra ubicación en nuestro sitio web.
Cookie
Duración
Descripción
ANID
2 años
Guardar preferencias de usuario y visualizar ubicaciones geográficas al visitar páginas con mapas de Google Maps. En nuestro sitio web utilizamos Google Maps para mostrar nuestra ubicación.
OGPC
1 mes
Se utiliza para visualizar ubicaciones geográficas utilizando los mapas de Google Maps al visitar la página. Tiene una finalidad de funcionalidad y guarda los datos correspondientes a la ubicación.