Avisos
Vaciar todo
Preguntas sobre PrestaShop
10
Respuestas
3
Usuarios
0
Reactions
27
Visitas
Topic starter
Hola,
Desde el 26 por la noche hasta ayer por la mañana, se me estaban creando
muchos clientes ficticios (adjunto pantallazo) con el nombre empezando por ??????. Pregunté a soporte y vieron un bot desde Moldavia y bloquearon esa IP y me recomendaron incluir un Captcha. Incluí el EI Captcha, pero anoche volvieron otra vez los clientes ficticios, y no han parado hasta las 4 de la mañana y hace 10 minutos otro. Anoche creé un Custimer.php que incluí e overrrides y modifiqué el AuthController.php para que no se pudiera crear ninguno comenzando con ????. También pedí a los de soporte ayuda, pero ni revisaron si tenía algún ataque ni bloquearon IPs, solo me dijeron que os pidiera ayuda a vosotros.
¿Qué puedo hacer?
Gracias
Respondido : 28/01/2026 7:39 am
Hola Alberto.
No veo que tengas un Captcha instalado para proteger el registro:
Prueba con el siguiente módulo gratuito:
-> https://shop.h-hennes.fr/en/2-captcha-prestashop-eicaptcha.html
Tienes que crear las claves públicas y privadas desde recaptcha de google:
-> https://developers.google.com/recaptcha
Un Saludo
Respondido : 28/01/2026 12:33 pm
Topic starter
Hola, es que no es en ese paso la validación. Es en el siguiente, incluyes el email y aparece otra pantalla con el Captcha, adjunto pantallazo. Y lo he probado, el cliente no se crea si no se marca la casilla de "No soy un robot".
Igualmente todos los clientes que se están registrando, lo están haciendo con un nombre comenzando con el caracter ?, y yo lo he probado y a mí no me deja crear clientes con ningún caracter especial, pero el bot sigue creándolos. Actualmente sigue. ¿No se estará saltando este bot tanto el captcha como las demás reglas implementadas?
Respondido : 28/01/2026 12:46 pm
Hola Alberto,
En este caso posiblemente el bot no este utilizando este formulario, debe estar usando otra via para crear los uusario, de menera general tienes alguna otra instalación que allas utilzado previamente y que este conectado a esta misma base de datos. De igual forma revisa si tienes activo algun webservices que pueda hacer una llamada a la API de customer y cree estos clientes sin tener que pasar por un formulario.
Ten en cuenta que no tenemos acceso a tu sitio web y es muy dificil diagnosticar lo que sucede en este caso, ve realizando pruebas, comprueba si tienes alguna modificaciones echas en el sitio web que abra una pequeña brecha que este permitiendo se creen estos contacto en tu sitio web sin pasar por las validaciones.
Revisa esto y nos comentas como va todo
Un Saludo
Respondido : 28/01/2026 1:54 pm
Topic starter
Hola, no, no tengo ninguna otra vía para la creación de clientes ni he hecho ningún cambio. No soy consciente de tener ninguna brecha.
He estado consultando con soporte y lo que han visto son multitud de accesos a la URL https://hesparaninos.com/es/autenticacion?back=my-account desde una IP de Moldavia ayer y hoy y también de Rusia. Ellos han bloqueado esas IPs y yo los países.
Encontré este foro en el que hace unos años les pasó lo mismo a unos usuarios de Prestashop.
¿No se os ocurre qué puedo hacer para evitar estos ataques?
Respondido : 28/01/2026 2:47 pm
Hola Alberto
Estas utilizado la versión 1.6 de prestashop y la 5.5 de PHP, es normal que tengas esos problemas ya que son versiones que desde hace muchos años no reciben soporte y son un agujero por el que querer colarse. Bots y scripts automáticos crean cuentas falsas masivamente. Los ejemplos que pones (muchos signos de interrogación + enlaces tipo blogspot + correos @gmail aleatorios o robados) suelen ser parte de campañas de spam que aprovechan vulnerabilidades antiguas en la validación de nombres y apellidos durante el registro.
En versiones 1.6 antiguas, el sistema permitía casi cualquier carácter en nombre y apellido (incluyendo URLs, signos raros, etc.), lo que facilitaba a los bots poder crear cuentas.
Lo único que puedes probar es con un Parche y ver si con eso se para:
.- Accede a override -> classes
.- Crea un archivo con el nombre Validate.php y este contenido:
En la misma carpeta crea un archivo con el nombre Customer.php y lo siguiente:
Revisa si tenemos suerte y para un poco con los registros.
Como recomendación, actualiza prestashop, PrestaShop 1.6 es un riesgo alto de hacks (SQL injection, XSS, etc. en versiones sin parches), sin eso vas a seguir teniendo problemas y tampoco vas a poder actualizar las versiones de PHP, piensa que es un peligro seguir con la instalación de prestashop que tienes ahora.
Respondido : 28/01/2026 3:53 pm
Topic starter
Vale, pero es que actualmente yo no puedo crear un cliente que comience por un caracter especial. Lo he estado probando, y no me deja crearlo. Pero está comprobado que el bot sí que puede.
¿Esos ficheros impedirían entonces que el bot pueda?
Respondido : 28/01/2026 5:51 pm
Hola Alberto,
Es posible, pero necesitas probarlo. Como comenta Pepe ten en cuenta que en versiones tan antiguas no hay soporte y esto cre brechas de seguridad de este tipo
Puedes probarlo y ver como va todo
Un Saludo
Respondido : 28/01/2026 6:06 pm
Topic starter
En realidad, puedo implementarlo y esperar a ver si hay otro ataque o no... Creo que no puedo probarlo de otra manera.
Respondido : 28/01/2026 7:24 pm
Hola Alberto,
Entiendo, añadelos y mantene monitoreando tu sitio hasta verificar si con ello se ha corregido. Toma en cuenta lo que comenta Pepe.
Como recomendación, actualiza prestashop, PrestaShop 1.6 es un riesgo alto de hacks (SQL injection, XSS, etc. en versiones sin parches), sin eso vas a seguir teniendo problemas y tampoco vas a poder actualizar las versiones de PHP, piensa que es un peligro seguir con la instalación de prestashop que tienes ahora.
Un Saludo
Respondido : 28/01/2026 8:01 pm
