Security Audit Pro – Protege tu tienda contra ataques impulsados por IA - Module PrestaShop

El primer módulo completo de Auditoría de Seguridad y Penetration Testing para PrestaShop

Con el auge de la inteligencia artificial, cualquier persona puede ahora encontrar y explotar las vulnerabilidades de su tienda en minutos. Un simple prompt en ChatGPT o Claude es suficiente para detectar archivos de configuración expuestos, encabezados de seguridad faltantes, módulos vulnerables o puntos de inyección SQL. Lo que antes requería una auditoría de seguridad profesional de más de 3.000 € ahora está al alcance de cualquier atacante, de forma gratuita.

Security Audit Pro contraataca con el mismo nivel de inteligencia. Realiza un test de penetración completo de su tienda PrestaShop —ejecutando más de 60 comprobaciones de seguridad automatizadas en 8 categorías— directamente desde su back office, en menos de 5 minutos. Sin línea de comandos, sin acceso al servidor, sin necesidad de conocimientos técnicos.

Cómo funciona — 3 pasos

Paso 1 — Escaneo: Haga clic en "Ejecutar escaneo completo". El módulo ejecuta secuencialmente 8 escáneres de seguridad independientes. Una barra de progreso en tiempo real muestra qué escáner se está ejecutando y el porcentaje de finalización.

Paso 2 — Revisión: Obtenga su calificación de seguridad global de la A a la F con una puntuación numérica sobre 100. Cada hallazgo se clasifica como Crítico (rojo), Advertencia (naranja), Información (azul) o Aprobado (verde). Haga clic en cualquier hallazgo para ver la explicación completa, los pasos para solucionarlo y los detalles técnicos.

Paso 3 — Solución: Siga las instrucciones paso a paso proporcionadas para cada hallazgo, o haga clic en "Descargar .txt para IA" para exportarlo todo y dejar que un asistente de IA lo solucione por usted.

Exportación para Agente de IA — El cambio de juego

Esta es la característica que hace que Security Audit Pro sea único en todo el marketplace de PrestaShop.

Tras el escaneo, haga clic en el botón "Descargar .txt para IA". El módulo genera un archivo de texto estructurado que contiene cada problema detectado, cada ruta de archivo a editar y cada instrucción de corrección, formateado específicamente para que los asistentes de IA lo entiendan y actúen.

Entregue este archivo a ChatGPT, Claude, Gemini o cualquier asistente de IA y simplemente pregunte: "Corrige todos los problemas de seguridad de este informe". La IA leerá el informe estructurado y parcheará cada vulnerabilidad, una por una.

El ciclo completo:

• Detección — Security Audit Pro escanea su tienda
• Diagnóstico — Informe detallado con explicaciones en lenguaje sencillo
• Exportación — Archivo .txt estructurado optimizado para IA
• Corrección — La IA parchea cada vulnerabilidad automáticamente
• Verificación — Vuelva a escanear para confirmar que todos los problemas se han resuelto

Ya no necesita ser desarrollador ni contratar a un consultor de seguridad. El módulo encuentra los problemas, los explica claramente y su asistente de IA los soluciona.

Informes detallados de hallazgos — Sin necesidad de experiencia

Cada problema detectado se abre en un panel desplegable con tres secciones claramente separadas:

QUÉ SE HA ENCONTRADO — Una explicación en lenguaje sencillo del problema. Sin tecnicismos. El módulo le indica exactamente qué se ha detectado, por qué es peligroso y cuál es el riesgo concreto para su tienda y sus clientes. Incluso alguien con cero conocimientos de seguridad puede entender cada hallazgo.

CÓMO SOLUCIONARLO — Instrucciones numeradas paso a paso. Cada paso le indica exactamente qué archivo abrir, qué buscar y qué cambiar. Sin adivinanzas, sin buscar en Google. Simplemente siga los pasos.

DETALLES TÉCNICOS — Para desarrolladores y usuarios avanzados: la ruta exacta del archivo, el patrón o código detectado, el módulo o contexto afectado y el impacto potencial. Esta sección es también lo que hace que la exportación a la IA sea tan eficaz: le da a la IA todo lo que necesita para actuar.

Los hallazgos se organizan en 8 pestañas (una por categoría de escaneo) y cada una muestra una insignia de gravedad codificada por colores (Crítico, Advertencia, Información, Aprobado) y una insignia de categoría que indica qué escáner lo detectó.

Sección 1 — Encabezados HTTP y configuración del servidor

Los encabezados HTTP de su servidor son la primera línea de defensa. Los encabezados ausentes o mal configurados dejan su tienda expuesta a ataques de clickjacking, XSS, sniffing de MIME y fuga de datos.

Security Audit Pro comprueba:

• 7 encabezados de seguridad esenciales: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection — cada uno verificado por presencia Y valor correcto.
• Salud del certificado SSL/TLS: versión del protocolo (se requiere TLS 1.2+), caducidad del certificado (alertas 30 días antes), verificación de la cadena completa, redirección HTTP→HTTPS (debe ser 301, no 302).
• Detección de contenido mixto: escanea el HTML de su página de inicio en busca de recursos cargados a través de http:// en una página HTTPS (imágenes, scripts, hojas de estilo, iframes).
• Etiquetas de seguridad de cookies: Atributos Secure, HttpOnly y SameSite en cada cookie, con enfoque prioritario en la cookie de sesión de PrestaShop.
• Divulgación de información del servidor: detecta si su servidor revela su versión (Apache/2.4.x, PHP/8.x), tokens de depuración de Symfony (fuga crítica) o identificación del CMS PrestaShop.
• Configuración incorrecta de CORS: comprueba si su servidor acepta solicitudes de origen cruzado de cualquier dominio (asterisco), refleja orígenes maliciosos o expone credenciales entre dominios.

Sección 2 — Archivos y directorios sensibles

Uno de los vectores de ataque más comunes y devastadores: archivos que nunca deberían ser accesibles públicamente. Un solo archivo .env expuesto puede entregar todas las credenciales de su base de datos a un atacante.

Security Audit Pro escanea más de 40 rutas de archivos peligrosas:

• Archivos de configuración: .env, .env.local, .env.backup, parameters.php, parameters.yml — contienen credenciales de base de datos, claves secretas, contraseñas SMTP.
• Archivos de depuración: phpinfo.php, info.php, test.php — revelan la configuración completa de su servidor a cualquier persona.
• Herramientas de base de datos: adminer.php, phpmyadmin/, pma/ — proporcionan acceso directo a la base de datos.
• Control de versiones: .git/HEAD, .git/config, .svn/entries — permiten la reconstrucción completa del código fuente y la extracción de credenciales.
• Archivos de Composer: composer.json, composer.lock — revelan todas sus dependencias y sus versiones.
• Archivos de copia de seguridad: backup.sql, dump.sql, db.sql, backup.zip, backup.tar.gz — contienen potencialmente toda su base de datos en texto plano.
• Archivos CI/CD e IDE: docker-compose.yml, .gitlab-ci.yml, .idea/, .vscode/ — pueden contener credenciales y configuraciones de despliegue.
• Archivos de registro (logs): var/logs/dev.log, var/logs/prod.log — pueden contener consultas SQL, trazas de errores, datos sensibles.

El módulo también detecta el listado de directorios en más de 10 directorios sensibles, verifica los permisos de los archivos (CHMOD) en archivos de configuración críticos y realiza una comprobación completa de la integridad de los archivos del núcleo utilizando sumas de comprobación SHA-256 contra los lanzamientos oficiales de PrestaShop (1.7.8.x, 8.0.x, 8.1.x, 8.2.x, 9.0.x). Los archivos del núcleo modificados, eliminados o añadidos de forma sospechosa se marcan inmediatamente.

Sección 3 — Seguridad del Back-Office

Su back office es el objetivo final. Si un atacante consigue acceso de administrador, es dueño de toda su tienda: datos de clientes, pedidos, información de pago, todo.

Security Audit Pro pone a prueba:

• Fortaleza de la ruta de administración: comprueba el nombre de su directorio de administración frente a más de 50 patrones comunes utilizados por escáneres automatizados (admin, admin123, backoffice, bo, gestion, manage, backend, panel, etc.). Si su ruta es adivinable → Crítico.
• Protección contra fuerza bruta: simula 5 intentos de inicio de sesión rápidos con credenciales falsas para comprobar si su tienda tiene limitación de velocidad, CAPTCHA o bloqueo de IP. Sin protección → Crítico.
• Autenticación de dos factores: comprueba si un módulo 2FA/TOTP está instalado y activo. La 2FA es la protección más eficaz contra el robo de credenciales. Si falta → Crítico.
• Auditoría de cuentas de administrador: busca direcciones de correo genéricas (admin@, test@, info@, root@), cuentas inactivas (sin iniciar sesión durante más de 6 meses), recuento excesivo de SuperAdmin (más de 2 = Advertencia, más de 5 = Crítico) y dominios de correo desechables (mailinator, yopmail, guerrillamail).
• Política de contraseñas: verifica la aplicación de la longitud mínima y comprueba el formato de hash real en su base de datos —bcrypt ($2y$) es seguro, los hashes MD5 de 32 caracteres indican contraseñas heredadas peligrosas que necesitan una migración inmediata.

Sección 4 — Seguridad de los módulos

Los módulos de terceros son la fuente número 1 de vulnerabilidades en las tiendas PrestaShop. Representan más del 80% de todos los fallos de seguridad explotados. Esta sección suele ser la más reveladora para los comerciantes.

Security Audit Pro incluye:

• Base de datos de vulnerabilidades CVE integrada: cada módulo instalado se cruza con una base de datos exhaustiva de vulnerabilidades conocidas procedentes de Friends of Presta Security Advisories, TouchWeb y la National Vulnerability Database (NVD). Si la versión de su módulo está afectada → Crítico con ID de CVE, tipo de vulnerabilidad, descripción del riesgo, versión parcheada y enlace al aviso.
• Detección de módulos fantasma: encuentra módulos que están desactivados o desinstalados pero cuyos archivos siguen físicamente presentes en su servidor. Estos archivos siguen siendo accesibles a través de una URL directa; un atacante puede explotarlos aunque usted crea que el módulo ha sido "eliminado".
• Detección de módulos obsoletos: identifica módulos con compatibilidad declarada inferior a su versión de PS, o con archivos PHP sin modificar durante más de 2 años (potencialmente abandonados por su desarrollador).
• Escaneo de endpoints no protegidos: comprueba archivos ajax.php, api.php, cron.php, callback.php, webhook.php, upload.php, export.php, download.php, proxy.php, connector.php, gateway.php accesibles sin ningún mecanismo de autenticación.
• Análisis de gestión de subidas: realiza un análisis de código estático en los archivos PHP de cada módulo para detectar gestores de subida de archivos (usando $_FILES, move_uploaded_file) que carecen de validación MIME, lista blanca de extensiones o controles de tamaño. Una subida no controlada → Crítico (potencial ejecución remota de código).

Sección 5 — Auditoría de la API de WebService

La API de WebService de PrestaShop puede exponer todos los datos de su tienda —clientes, pedidos, productos, cuentas de empleados, configuraciones— a través de simples solicitudes HTTP. Una API mal configurada es una mina de oro para los atacantes.

Security Audit Pro comprueba:

• Exposición de la API: comprueba si /api/ responde sin autenticación (debería devolver 401, no 200).
• Auditoría de permisos por clave: para cada clave de API activa, enumera todos los recursos y métodos autorizados. Alertas: acceso a TODOS los recursos (Crítico), DELETE en clientes/pedidos/direcciones (Advertencia), PUT/POST en configuraciones (Crítico), acceso a datos de empleados (Crítico).
• Análisis de la fortaleza de la clave: evalúa la longitud de cada clave (debe ser 32+), la entropía de Shannon (debe ser 3,5+ bits/char) y la detección de patrones secuenciales (123456, abcdef = débil).
• CORS en los puntos finales de la API: prueba específicamente las rutas /api/ para detectar configuraciones erróneas de origen cruzado —una API activa con un CORS permisivo significa que cualquier sitio web malicioso puede leer los datos de su tienda desde el navegador de cualquier visitante.

Sección 6 — Detección de inyección SQL y análisis de código

La inyección SQL sigue siendo uno de los tipos de ataque más devastadores. Un solo parámetro vulnerable puede dar a un atacante acceso a toda su base de datos: cuentas de clientes, contraseñas, tokens de tarjetas de crédito e historial de pedidos.

Security Audit Pro combina pruebas dinámicas con análisis estático:

Pruebas dinámicas (solicitudes HTTP):

• Prueba parámetros GET comunes de PrestaShop (id_product, id_category, id_cms, id_manufacturer, id_supplier, parámetro de búsqueda) con cargas útiles de detección de errores SQL.
• Detecta la divulgación de errores SQL en las respuestas HTTP (errores de sintaxis MySQL, PDOException, patrones SQLSTATE).
• Las pruebas NUNCA van más allá de la detección de errores —sin explotación, sin extracción de datos, sin modificación.

Análisis estático de código (lectura de fuentes PHP):

• Escanea todos los archivos PHP en /override/ y /modules/ en busca de patrones peligrosos:
• Consultas SQL no seguras: Db::getInstance()->execute() con concatenación directa en lugar de binding pSQL()/(int).
• Ejeución de código: eval(), exec(), system(), passthru(), shell_exec(), proc_open().
• Malware ofuscado: base64_decode() seguido de eval() —la firma clásica de la puerta trasera.
• Inclusión de archivos: include()/require() con parámetros $_GET/$_POST (LFI/RFI).
• SSRF: file_get_contents() con URLs controladas por el usuario.
• Inyección de objetos PHP: unserialize() con datos del usuario.
• Funciones peligrosas obsoletas: preg_replace() con el flag /e.

Los resultados se agrupan por módulo con una puntuación de riesgo individual, lo que facilita la identificación de los módulos más peligrosos.

Sección 7 — Protección XSS y CSRF

El Cross-Site Scripting (XSS) permite a los atacantes inyectar scripts maliciosos en sus páginas, robando las cookies de los clientes, los tokens de sesión y los datos personales. El Cross-Site Request Forgery (CSRF) engaña a los usuarios autenticados para que realicen acciones no deseadas.

Security Audit Pro pone a prueba:

• XSS reflejado: envía cargas útiles no destructivas a su barra de búsqueda, formulario de contacto y parámetros de URL, luego analiza la respuesta HTML para comprobar si las cargas útiles se reflejan sin codificación. Reflejo sin codificar → Crítico (XSS explotable).
• Verificación de tokens CSRF: comprueba cada formulario del front-office (contacto, inicio de sesión, registro, dirección, pago) y del back-office en busca de la presencia de tokens anti-CSRF (_token para Symfony, token para PS heredado).
• Evaluación de Content-Security-Policy: analiza su encabezado CSP específicamente para la efectividad de la protección XSS —marca unsafe-inline, unsafe-eval, comodines en script-src, y proporciona una configuración CSP recomendada para PrestaShop.

Sección 8 — Permisos y control de acceso

Security Audit Pro comprueba:

• Ejecución de PHP en directorios de subida: verifica que las reglas .htaccess bloqueen la ejecución de PHP en /upload/, /img/, /download/, /mails/. Si un atacante puede subir y ejecutar un archivo .php → toma de control total del servidor.
• Pruebas de redirección abierta: prueba los parámetros de redirección (back, redirect, returnUrl, url, next, checkout) con URLs externas y técnicas clásicas de evasión (//evil.com, /\evil.com). Redirección abierta → Crítico (permite ataques de phishing utilizando su dominio).
• Protección IDOR: comprueba si los pedidos, las facturas y las direcciones son accesibles simplemente incrementando el ID en la URL sin autenticación. Accesible → Crítico.
• Protección anti-bot: analiza los formularios de registro e inicio de sesión en busca de CAPTCHA (reCAPTCHA, hCaptcha, Turnstile), campos honeypot o limitación de velocidad. Sin protección → Advertencia (expone su tienda a registros masivos y relleno de credenciales).

Sistema de puntuación inteligente A→F

La puntuación de seguridad se calcula mediante una fórmula ponderada en la que cada escáner contribuye según su nivel de riesgo:

• Seguridad del Back-Office: 20%
• Seguridad de los módulos: 20%
• Archivos y directorios: 15%
• Encabezados HTTP y servidor: 10%
• WebService API: 10%
• Inyección SQL y código: 10%
• XSS y CSRF: 10%
• Permisos y acceso: 5%

Cada hallazgo resta puntos según su gravedad: Crítico = -30pts, Advertencia = -10pts, Información = -1pt. La puntuación oscila entre 0 y 100 y se asigna a una calificación por letra:

• A (90-100): Excelente —su tienda sigue las mejores prácticas de seguridad.
• B (75-89): Buena —se recomiendan mejoras menores.
• C (60-74): Media —se necesitan correcciones importantes.
• D (40-59): Insuficiente —se han detectado vulnerabilidades significativas.
• E (20-39): Pobre —riesgos graves, se requiere acción urgente.
• F (0-19): Crítica —su tienda es vulnerable, actúe inmediatamente.

Panel de control, historial y comparación

El panel de control del back-office le ofrece una visión completa de un vistazo:

• Gran calificación de la A a la F con la puntuación numérica destacada.
• 4 contadores de gravedad: Crítico / Advertencia / Información / Aprobado con iconos codificados por colores.
• 8 barras de progreso: una por sección del escáner con puntuaciones individuales.
• Tabla de historial de escaneos: fecha, puntuación, duración, versión de PS, versión de PHP, enlace a los resultados detallados.
• Comparación de escaneos: cuando existen 2 o más escaneos, vea la tendencia — ↑ mejora (verde) o ↓ regresión (rojo) con el diferencial exacto de puntos.
• Escaneo en tiempo real: barra de progreso impulsada por AJAX que muestra qué escáner se está ejecutando y el porcentaje de finalización.

Siga su postura de seguridad a lo largo del tiempo. Mida el impacto de sus correcciones. Detecte regresiones tras actualizaciones o instalaciones de nuevos módulos.

100% seguro y no intrusivo

Security Audit Pro está diseñado para ser completamente seguro de ejecutar en tiendas en producción:

• Solo lectura: el módulo nunca crea, modifica ni elimina ningún archivo de su servidor.
• Pruebas de inyección SQL: solo detectan la divulgación de errores —cero explotación, cero extracción de datos.
• Pruebas de fuerza bruta: limitadas a 5 intentos con credenciales intencionadamente falsas (test@test.com / wrongpassword123) y un User-Agent identificable (WePresta-SecurityAudit/1.0).
• Cargas útiles XSS: solo alert(1) no destructivos —sin modificación del DOM, sin exfiltración de datos.
• Impacto cero en el front-office: sin hooks, sin JavaScript, sin CSS en su tienda. El módulo funciona exclusivamente en el back office.
• Tiempos de espera estrictos: tiempo de espera de 10 segundos en cada solicitud HTTP para evitar ralentizaciones.

Soporte completo para Multitienda

Cada tienda en su configuración multitienda obtiene su propia configuración independiente, historial de escaneo, puntuación de seguridad, informes de hallazgos y archivo de exportación de IA. Escanee cada tienda por separado y compare los niveles de seguridad en toda su red.

Arquitectura técnica moderna

• Sistema de controlador dual: controladores Symfony con plantillas Twig para PrestaShop 8.x y 9.x (Symfony 6.4), ModuleAdminController heredado con plantillas Smarty para PrestaShop 1.7.x.
• Panel de control Alpine.js: interfaz de back-office reactiva, rápida y moderna.
• Autocarga PSR-4: arquitectura PHP limpia y modular con 8 clases de escáner independientes que implementan una ScannerInterface común.
• Wrapper de cURL personalizado: todas las solicitudes HTTP utilizan una clase HttpClient dedicada con User-Agent identificable, tiempos de espera estrictos y verificación SSL.
• Traducciones completas: Inglés (por defecto) y francés a través de archivos .xlf con el dominio Modules.Weprestasecurityaudit.Admin.
• Sin overrides del núcleo: cero modificaciones en los archivos del núcleo de PrestaShop.
• Requisitos mínimos: extensiones de PHP cURL, JSON y OpenSSL (estándar en todos los proveedores de alojamiento).

¿Para quién es este módulo?

• Propietarios de tiendas que quieran saber si su tienda es segura, sin necesidad de conocimientos técnicos.
• Agencias que gestionan varias tiendas PrestaShop y necesitan una herramienta de evaluación de seguridad rápida y repetible.
• Desarrolladores que quieran auditar su código y módulos antes del despliegue.
• Cualquier persona preocupada por los ataques impulsados por IA —porque si usted no escanea su propia tienda, otro lo hará por usted.