Necesitas mi libro "Claves para abrir una tienda online y que venda" y lo sabes...


¿Quieres comprarlo en otro sitio?

Amazon | Casa del Libro

Incrementar seguridad acceso backoffice Prestashop

A raiz de la última e importante actualización de seguridad para Prestashop: https://www.prestashop.com/blog/es/actualizacion-de-seguridad-por-prestashop/ 
en sus versiones anteriores a 1.6.1.0 relacionada con una vulnerabilidad en la aleatoriedad del algoritmo de generación de contraseñas, que podría provocar que un hacker malicioso lograra acceder al backoffice de tu tienda.


Además de aplicar el parche de seguridad proporcionado por Prestashop en ese enlace o realizar la actualización manual de los archivos relacionados (classes/customer.php, classes/tools.php, controllers/admin/adminlogincontroller.php y controllers/front/passwordcontroller.php) -para más información recomiendo este enlace: http://capys.es/como-instalo-la-actualizacion-de-seguridad-de-prestashop-sin-actualizar/  - una de las recomendaciones es añadir un filtro adicional de seguridad en el acceso al backoffice de Prestashop usando la protección de directorios con el archivo .htpasswd

Para ello podemos seguir estos pasos para la instalación y configuración:


1) Crear un archivo llamado fullpath.php con este contenido y subirlo por FTP en el directorio del backoffice (ej: admin1234):

<?php
$dir = dirname(__FILE__);
echo "<p>Full path to this dir: " . $dir . "</p>";
echo "<p>Full path to a .htpasswd file in this dir: " . $dir . "/.htpasswd" . "</p>";
?>


2) Copiar y ejecutar (una vez subido al servidor) el archivo fullpath.php (http://www.mitienda.com/backoffice/fullpath.php) para conocer la ruta exacta donde estará el .htpasswd que necesitas editar en el .htaccess

3) Editar el archivo .htaccess con la ruta del .htpasswd

4) Editar el archivo .htpasswd con el usuario y contraseña encriptada (para esto último usar la web http://aspirine.org/htpasswd_en.html).

El usuario no puede ser el mismo que el usado en el backoffice, una dirección de correo electrónico, porque no puede usarse la arroba @ (por otra parte, independientemente de esta limitación, lo recomendable es que estos datos de acceso sean disintos).

5) Subir al directorio del backoffice (OJO: no al raíz de la tienda) los archivos .htaccess y .htpasswd

Ventana previa a login del Backoffice con htpasswd


Etiquetas: , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)