La seguridad de un ecommerce no es opcional. Herramientas como OWASP ZAP permiten detectar vulnerabilidades antes de que los atacantes las exploten. En este artículo aprenderás a instalar ZAP, configurar un escaneo y analizar los resultados para proteger tu tienda.

Índice

• Qué es OWASP ZAP
• Instalación y configuración inicial
• Realizar un escaneo de seguridad
• Analizar resultados y clasificar riesgos
• Integración con CI/CD
• Mejores prácticas de seguridad

Qué es OWASP ZAP

OWASP ZAP (Zed Attack Proxy) es una herramienta gratuita de análisis de seguridad web. Permite identificar vulnerabilidades como:

• Inyección SQL
• Cross-Site Scripting (XSS)
• Autenticaciones débiles
• Exposición de datos sensibles

Instalación

# Linux
sudo snap install zaproxy --classic

# Windows/Mac
Descargar desde https://www.zaproxy.org/download/

También puedes ejecutar ZAP en Docker:

docker run -u zap -p 8080:8080 owasp/zap2docker-stable

Realizar un escaneo

1. Configura ZAP como proxy del navegador.
2. Accede a tu tienda (staging, nunca producción directamente).
3. Usa “Spider Scan” para mapear URLs.
4. Lanza “Active Scan” para detectar vulnerabilidades.

Analizar resultados

ZAP clasifica los hallazgos por severidad:

Corrige primero los riesgos altos y revisa los medios según impacto.

Integración con CI/CD

jobs:
  zap_scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Run ZAP
        run: docker run owasp/zap2docker-stable zap-baseline.py -t https://staging.mi-tienda.com -r zap_report.html

Esto permite ejecutar escaneos automáticos en cada despliegue.

Mejores prácticas

• Auditar siempre en entorno de staging.
• Combinar ZAP con análisis manual.
• Programar escaneos periódicos.
• Usar reportes HTML para seguimiento.

Conclusión

Con OWASP ZAP puedes detectar vulnerabilidades antes de que se conviertan en problemas graves. Integrar esta herramienta en tu flujo DevSecOps es una inversión directa en la seguridad de tu ecommerce.

¿Quieres que configuremos un sistema de escaneo de seguridad para tu tienda? Contáctanos.

Los endpoints API son puertas de entrada críticas a tu aplicación. Si no están bien protegidos, pueden convertirse en una fuente de ataques, filtraciones de datos o modificaciones no autorizadas. En este artículo aprenderás a proteger tus endpoints en PHP y Python con prácticas seguras, tokens, autenticación y validaciones.

Índice

• Principales amenazas a endpoints API
• Autenticación segura: tokens y cabeceras
• Protección de endpoints en PHP
• Protección de endpoints en Python (Flask)
• Buenas prácticas adicionales

Principales amenazas

• Falta de autenticación
• Endpoints públicos que exponen datos
• Tokens no cifrados o predecibles
• Parámetros sin sanitizar → riesgo de inyección
• Falta de control sobre IPs, límites y logs

Autenticación con token en cabecera

Los tokens se deben enviar por cabecera HTTP con formato:

Authorization: Bearer TU_TOKEN

Es recomendable generar tokens con UUID o SHA256, expirar tokens y controlar su uso por IP/tiempo.

Ejemplo en PHP

$headers = getallheaders();
if (!isset($headers['Authorization']) || $headers['Authorization'] !== 'Bearer 12345ABC') {
    http_response_code(401);
    echo json_encode(["error" => "Unauthorized"]);
    exit;
}

// Endpoint protegido
$data = ["respuesta" => "OK"];
echo json_encode($data);

Extensión: validar IP o limitar llamadas

• Validar $_SERVER['REMOTE_ADDR']
• Registrar peticiones por IP en base de datos

Ejemplo en Python (Flask)

from flask import Flask, request, jsonify
app = Flask(__name__)

@app.route('/api/segura')
def segura():
    auth = request.headers.get("Authorization")
    if auth != "Bearer 12345ABC":
        return jsonify({"error": "Unauthorized"}), 401
    return jsonify({"respuesta": "OK"})

app.run()

Recomendación:

• Usar librerías como flask-limiter para rate limiting
• Almacenar tokens con hashing

Buenas prácticas

• Auditar endpoints y eliminar los no usados
• Habilitar CORS solo cuando sea necesario
• Usar HTTPS siempre
• Hacer logging de acceso
• Separar entornos de desarrollo y producción

Conclusión

Proteger tus endpoints es clave para cualquier proyecto ecommerce o SaaS. No basta con “que funcionen”; deben resistir ataques reales y no exponer datos críticos.

¿Quieres que auditemos la seguridad de tu API? Contáctanos.

Introducción

La seguridad de un sitio web no solo depende de firewalls o plugins. Una forma muy eficaz de detectar ataques tempranos es implementar un sistema que avise cuando haya accesos sospechosos, como muchos intentos desde la misma IP, bots o scrapers masivos.

En este artículo te enseño cómo crear un sistema de alertas ante accesos sospechosos en PHP. Está pensado tanto para desarrolladores como para quienes no tienen conocimientos técnicos.

Índice

• 1. Por qué detectar accesos sospechosos
• 2. Datos recomendados a registrar
• 3. Script PHP para registrar accesos y disparar alertas
• 4. Ejemplo de log generado
• 5. Buenas prácticas y RGPD
• 6. Conclusión

1. Por qué detectar accesos sospechosos

• 🔐 Identificar ataques de fuerza bruta (múltiples intentos de login).
• 📈 Detectar scrapers que copian datos de tu web.
• 🚨 Evitar saturación de tu servidor por bots no deseados.

2. Datos recomendados a registrar

3. Script PHP para registrar accesos y disparar alertas

A continuación un script PHP que:

• Registra accesos en un archivo de log.
• Cuenta cuántas veces se repite una misma IP.
• Dispara un email de alerta si una IP supera 50 accesos en 10 minutos.

<?php
// Configuración
$limite = 50; // Máximo accesos permitidos
$tiempo = 600; // Segundos (10 min)
$ip = $_SERVER['REMOTE_ADDR'] ?? 'desconocida';
$user_agent = $_SERVER['HTTP_USER_AGENT'] ?? 'desconocido';
$url = $_SERVER['REQUEST_URI'] ?? 'desconocido';
$time = time();

$registro = "$time|$ip|$user_agent|$url\n";
file_put_contents(__DIR__.'/logs/accesos.log', $registro, FILE_APPEND);

// Analizar el log
$conteo = 0;
$lines = file(__DIR__.'/logs/accesos.log');
foreach ($lines as $line) {
    list($log_time, $log_ip) = explode('|', $line);
    if ($ip == $log_ip && ($time - (int)$log_time) < $tiempo) {
        $conteo++;
    }
}

if ($conteo > $limite) {
    $mensaje = "Alerta: La IP $ip ha accedido $conteo veces en los últimos 10 minutos.";
    mail("tuseguridad@tuweb.com", "Alerta de Acceso Sospechoso", $mensaje);
}
?>

Explicación:

• Guarda cada acceso en un log separado por pipe (|).
• Cuenta cuántas veces aparece la misma IP en los últimos 10 minutos.
• Envía un correo si supera el límite configurado.

4. Ejemplo de log generado

1718123456|203.0.113.45|Mozilla/5.0|/login
1718123460|203.0.113.45|Mozilla/5.0|/login

Esto facilita revisar qué URLs son atacadas y con qué frecuencia.

5. Buenas prácticas y RGPD

• 💾 Borra o rota el log cada cierto tiempo.
• 🔐 Guarda el archivo de log fuera de la carpeta pública.
• ⚖️ Informa en tu política de privacidad si registras IPs.

6. Conclusión

Con un script sencillo en PHP puedes detectar patrones sospechosos y proteger tu web antes de que un ataque tenga éxito.

📩 ¿Quieres implementar algo más avanzado con panel y alertas? ¡Contáctanos!

Introducción

Detectar cambios no autorizados en archivos de tu CMS es clave para prevenir hackeos, inyecciones de malware o redirecciones no deseadas.

En esta guía aprenderás a monitorizar archivos modificados o sospechosos con métodos prácticos, usando PHP y tareas cron.

Índice

• 1. Por qué es importante monitorear cambios
• 2. Métodos: checksums y fechas de modificación
• 3. Script PHP para detectar cambios
• 4. Carpetas clave a vigilar
• 5. Automatizar con cron y alertas
• 6. Buenas prácticas
• 7. Conclusión

1. ¿Por qué monitorear cambios?

• 🚨 Detectar archivos modificados por un atacante
• 🔎 Localizar malware inyectado en plantillas o plugins
• 🛡️ Reaccionar rápido y restaurar backups

2. Checksums y fechas de modificación

• 🗂️ Calcula hashes (md5, sha1) de archivos limpios y compara regularmente.
• 📅 Consulta la fecha de última modificación para detectar cambios recientes.

3. Script PHP para escanear cambios

<?php
$directorio = __DIR__;
$log = '';

foreach (new RecursiveIteratorIterator(new RecursiveDirectoryIterator($directorio)) as $file) {
  if ($file->isFile()) {
    if (time() - $file->getMTime() < 86400) { // Modificado en últimas 24h
      $log .= $file->getPathname() . " modificado recientemente\n";
    }
  }
}

file_put_contents('logs/cambios_archivos.log', $log);
?>

✔️ Guarda un log con los archivos modificados en las últimas 24 horas.

4. Carpetas clave a vigilar

5. Automatizar con cron

Programa un cron para ejecutar el script cada día:

0 2 * * * /usr/bin/php /ruta/del/script/scan_archivos.php

Recibe alertas por email si se detectan cambios sospechosos.

6. Buenas prácticas

• 💾 Mantén copias de seguridad de los archivos originales.
• 🔒 Protege los logs y restringe su acceso.
• ✅ Combina este método con un firewall de aplicaciones (WAF).

7. Conclusión

Monitorear la integridad de archivos es una defensa sencilla pero potente contra ataques y modificaciones no autorizadas.

📩 ¿Quieres una solución automatizada con panel y notificaciones? Escríbenos y la instalamos en tu web.

Introducción

Registrar la IP y el User-Agent de los visitantes es una forma sencilla de monitorizar quién accede a tu web y detectar comportamientos sospechosos o bots maliciosos.

En este artículo aprenderás cómo crear un sistema de logging básico en PHP para guardar la IP, el navegador y la URL accedida, todo de forma ordenada y segura.

Índice

• 1. ¿Por qué registrar IP y User-Agent?
• 2. Script PHP para guardar logs
• 3. Estructura recomendada del archivo de log
• 4. Cómo analizar logs para detectar patrones anómalos
• 5. Buenas prácticas de seguridad y privacidad
• 6. Conclusión

1. ¿Por qué registrar IP y User-Agent?

• 🔎 Detectar bots no deseados o ataques de fuerza bruta
• 🚦 Analizar picos de tráfico y origen de visitas
• 🗂️ Crear alertas ante accesos repetidos desde la misma IP

2. Script PHP para registrar logs

<?php
$ip = $_SERVER['REMOTE_ADDR'] ?? 'unknown';
$user_agent = $_SERVER['HTTP_USER_AGENT'] ?? 'unknown';
$url = $_SERVER['REQUEST_URI'] ?? 'unknown';

$log_line = "[" . date('Y-m-d H:i:s') . "] IP: $ip | UA: $user_agent | URL: $url\n";

file_put_contents(__DIR__ . '/logs/accesos.log', $log_line, FILE_APPEND);
?>

✔️ Cada acceso se guarda en /logs/accesos.log. Crea la carpeta con permisos seguros.

3. Estructura recomendada del log

[2024-06-10 12:34:56] IP: 203.0.113.45 | UA: Mozilla/5.0 | URL: /contacto

Esto te permitirá filtrar por fecha, IP o tipo de User-Agent.

4. Analizar patrones anómalos

• 🕵️ Revisar IPs con miles de peticiones en poco tiempo
• 📑 Comparar User-Agents para detectar scrapers
• 🔔 Automatizar alertas con cron + PHP para IPs que superen umbrales

5. Buenas prácticas

• 🔐 Guarda logs en una carpeta no pública (/logs fuera de public_html)
• ♻️ Rota y archiva logs cada mes para no saturar espacio
• 🔏 Cumple con RGPD si almacenas datos de usuarios europeos

6. Conclusión

Un sistema básico de logging con PHP es un primer paso para mejorar la seguridad de tu web y tener evidencia de accesos en caso de problemas.

📩 Si necesitas algo más avanzado con panel visual y alertas automáticas, escríbenos y lo implementamos contigo.

Introducción

SiteCheck de Sucuri es una herramienta gratuita para auditar la seguridad de tu sitio web desde el exterior. Analiza si estás en listas negras, si tienes malware visible en el frontend o si se detectan redirecciones sospechosas.

En esta guía te mostramos cómo usar SiteCheck paso a paso para auditar tu WordPress, WooCommerce o PrestaShop, interpretar resultados y actuar en consecuencia.

Índice

• 1. ¿Qué es SiteCheck?
• 2. Cómo usar SiteCheck paso a paso
• 3. Cómo interpretar los resultados
• 4. Acciones recomendadas tras el escaneo
• 5. Cómo automatizar auditorías externas
• 6. Buenas prácticas tras una auditoría
• 7. Conclusión

1. ¿Qué es SiteCheck?

SiteCheck (https://sitecheck.sucuri.net) es un escáner de seguridad gratuito de la empresa Sucuri. Revisa el código visible de una web pública y detecta:

• ⚠️ Malware o código malicioso inyectado
• 🔁 Redirecciones ilegítimas
• 🔎 Listas negras de Google, McAfee, Norton, etc.
• 🧱 Plugins o CMS desactualizados (visibles desde el frontend)

2. Cómo usar SiteCheck paso a paso

1. Accede a https://sitecheck.sucuri.net
2. Introduce la URL completa (ej. https://mitienda.com)
3. Haz clic en «Scan Website»
4. Espera 10–20 segundos y verás el informe

🔍 El escáner actúa desde el exterior. No requiere acceso ni instalación.

3. Interpretar el informe

4. Qué hacer si hay alertas

• 🛠️ Revisar archivos del tema y plugins
• 🔎 Buscar inyecciones JS, iFrames invisibles, redirecciones
• 📤 Pedir revisión en caso de estar en blacklist
• 💡 Si tienes backup reciente, restaurar y luego cerrar vulnerabilidad

5. Auditorías automáticas

• 🧪 Puedes crear una tarea CRON para verificar regularmente con un script que consulte el endpoint de SiteCheck
• 📬 Configura alertas por email con Zapier, IFTTT o notificaciones desde tu dashboard

6. Buenas prácticas tras escaneo

• 🔐 Activar cabeceras de seguridad (CSP, HSTS, Referrer-Policy)
• 🚫 Ocultar versiones de WordPress y plugins en el frontend
• 💾 Mantener backups automáticos diarios
• 🧩 No usar temas o plugins nulos

7. Conclusión

SiteCheck es una herramienta gratuita, útil y rápida para detectar problemas visibles en cualquier web. Si lo combinas con protección en servidor, copias de seguridad y buenas prácticas, puedes detectar intrusiones antes de que se agraven.

📩 ¿Tu web muestra errores o aparece en blacklist? Escríbenos y la auditamos contigo.

Introducción

Los bots maliciosos representan una amenaza constante para tiendas online y sitios web. Consumen recursos, intentan vulnerar formularios, capturan contenido o lanzan ataques de fuerza bruta.

En esta guía aprenderás cómo bloquear bots maliciosos usando reglas en .htaccess y filtros PHP, con ejemplos claros y recomendaciones para evitar falsos positivos.

Índice

• 1. Cómo identificar bots maliciosos
• 2. Reglas .htaccess para bloquear bots
• 3. Bloqueo desde PHP en tiempo real
• 4. Cómo registrar intentos sospechosos
• 5. Automatizar bloqueos con lista negra
• 6. Falsos positivos y recomendaciones
• 7. Conclusión

1. Cómo detectar bots maliciosos

• 🚫 User-Agent sospechoso (vacío, genérico o falsificado)
• 📈 Frecuencia excesiva de peticiones desde la misma IP
• 🔎 Acceso a rutas típicas de vulnerabilidad (/wp-admin, /xmlrpc.php, /cart/add)
• 🛠️ Encabezados falsos o sin cookies

2. Bloquear bots con .htaccess

Bloquear por User-Agent:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} (crawler|masscan|python|scrapy) [NC]
RewriteRule .* - [F,L]

Bloquear por IP:

Order Allow,Deny
Deny from 192.168.1.100
Deny from 203.0.113.0/24

🔒 Estas reglas son muy rápidas porque se ejecutan antes del PHP.

3. Bloquear desde PHP

<?php
$user_agent = $_SERVER['HTTP_USER_AGENT'] ?? '';
$ip = $_SERVER['REMOTE_ADDR'];

$bloqueados = ['python', 'scrapy', 'masscan', 'curl'];

foreach ($bloqueados as $bot) {
  if (stripos($user_agent, $bot) !== false) {
    header('HTTP/1.1 403 Forbidden');
    exit;
  }
}
?>

💡 Puedes combinarlo con un sistema de alertas o logs.

4. Registrar accesos sospechosos

<?php
$log = "[" . date("Y-m-d H:i:s") . "] $ip - $user_agent\n";
file_put_contents(__DIR__ . '/logs/bots.log', $log, FILE_APPEND);
?>

📁 Útil para revisar patrones o crear una lista negra dinámica.

5. Automatizar bloqueos por IP

• ⚙️ Revisar logs cada noche y agregar IPs repetidas a `.htaccess`
• 📤 Enviar alertas por email o Telegram
• ⏱️ Usar cron para limpiar IPs tras 7 días si no repiten

6. Evitar falsos positivos

• ✅ No bloquees bots de Google, Bing, etc.
• 🧪 Verifica User-Agent antes de aplicar una regla
• 🔄 Usa logs y listas temporales para IPs sospechosas

7. Conclusión

Bloquear bots maliciosos con .htaccess o PHP es una solución efectiva para proteger recursos, prevenir ataques y optimizar tu servidor. Si tienes patrones repetitivos, puedes automatizar la defensa y reducir el riesgo sin depender de plugins.

📩 ¿Necesitas un sistema de detección a medida para tu tienda o blog? Escríbenos.

Introducción

Uno de los puntos más ignorados en la seguridad web es la revisión periódica de los logs del servidor. Apache y Nginx almacenan registros que contienen información crítica sobre accesos, errores y peticiones que pueden revelar intentos de ataque.

En esta guía práctica te mostramos cómo detectar actividad sospechosa en logs de servidor, interpretar los patrones más comunes y aplicar medidas de protección efectivas.

Índice

• 1. Qué tipos de logs debes revisar
• 2. Dónde se encuentran los logs en Apache y Nginx
• 3. Patrones de actividad sospechosa más comunes
• 4. Comandos útiles para analizar logs
• 5. Filtrar por IPs, URLs, errores 404 o POSTs masivos
• 6. Automatizar detección con scripts o fail2ban
• 7. Qué hacer cuando detectas algo anormal
• 8. Conclusión

1. Qué logs debes revisar

• access.log – cada petición recibida (IP, URL, método, código HTTP)
• error.log – errores de servidor, PHP, rutas, etc.
• Logs personalizados por CMS, firewall o WAF

2. Ubicaciones típicas

3. Actividad sospechosa habitual

• IPs con miles de peticiones por hora
• Accesos a URLs inexistentes (admin.php, config.bak, wp-login.php)
• Errores 404 repetidos desde la misma IP
• POST masivos a formularios o endpoints
• User-agents vacíos o falsos (curl, python)

4. Comandos útiles para análisis

tail -n 500 access.log
grep "wp-login.php" access.log
awk '{print $1}' access.log | sort | uniq -c | sort -nr | head

✔️ Con estos puedes ver IPs más activas, rutas más accedidas o errores frecuentes.

5. Filtrar por patrones específicos

• Detectar peticiones sospechosas:

grep -i "wp-login.php\|xmlrpc.php" access.log

• Ver errores 404:

grep " 404 " access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head

• POST masivos:

grep "POST" access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head

6. Automatizar alertas o bloqueos

• 🛡️ Configurar fail2ban para bloquear IPs con errores repetidos
• ⚠️ Crear scripts cron que te alerten por email
• 📦 Integrar con sistemas de logs externos (Logwatch, Logrotate, Cloudflare logs)

7. Qué hacer si detectas actividad sospechosa

• 🔒 Bloquear la IP si es reiterativa
• 📄 Reforzar endpoints vulnerables o esconderlos
• 🔧 Activar captcha o doble validación
• 📤 Enviar logs a soporte si usas servidor gestionado

8. Conclusión

Revisar tus logs te da ojos donde normalmente no miras. Es el primer paso para anticiparte a ataques, detectar bots o corregir problemas técnicos antes de que escalen.

📩 ¿Te gustaría que configuremos una monitorización automática de logs o alertas por correo? Escríbenos.

Introducción

Auditar las vulnerabilidades de una web debería ser parte regular del mantenimiento técnico de cualquier proyecto. Tanto si usas WordPress, PrestaShop, Drupal u otro CMS, existen puntos en común que pueden exponerte a ataques si no son detectados a tiempo.

En esta guía práctica te mostramos las herramientas más eficaces para auditar vulnerabilidades comunes en una web, cómo usarlas paso a paso y qué tipo de problemas pueden ayudarte a descubrir.

Índice

• 1. Tipos de vulnerabilidades que puedes auditar
• 2. Herramientas online de auditoría inmediata
• 3. Herramientas de línea de comandos (CLI)
• 4. Herramientas específicas para CMS (WordPress, PrestaShop, etc.)
• 5. Cómo automatizar auditorías regulares
• 6. Cómo interpretar los resultados
• 7. Qué hacer después de una auditoría
• 8. Conclusión

1. Tipos de vulnerabilidades comunes

• 🔓 Plugins o extensiones desactualizadas
• 🔍 Archivos y rutas públicas sin protección
• 📤 Permisos de archivos inseguros
• 🛑 Headers HTTP mal configurados (CSP, X-Frame-Options…)
• 📦 Formularios sin validación
• ⚠️ Inyecciones SQL o XSS posibles

2. Herramientas online gratuitas

3. Herramientas de línea de comandos

• nmap: escanea puertos y servicios
• nikto: auditoría básica de servidor web
• wpscan: auditoría específica de WordPress
• whatweb: detecta tecnologías usadas por una web

nikto -h https://tuweb.com

4. Herramientas específicas para CMS

• WPScan – auditoría de WordPress
• PrestaScan (comercial) – plugins y configuraciones de PrestaShop
• Drupalgeddon testers – para comprobar CVEs en versiones antiguas

5. Automatizar las auditorías

• 🔁 Ejecutar escaneos con cron
• 📬 Enviar reportes por correo automáticamente
• 📊 Almacenar resultados en dashboards internos

wpscan --url https://miweb.com --api-token=XXXXX --format json -o salida.json

6. Cómo interpretar los resultados

• 🟡 Advertencias → mejoras recomendadas
• 🔴 Vulnerabilidades → requieren atención urgente
• ⚠️ Falsos positivos → verifica manualmente

7. ¿Qué hacer después?

• ✔️ Actualiza extensiones, temas y librerías
• 🔐 Ajusta permisos o rutas expuestas
• 📁 Configura cabeceras de seguridad
• 📋 Documenta y programa la siguiente revisión

8. Conclusión

Auditar vulnerabilidades no es solo para pentesters: cualquier desarrollador, administrador o dueño de una tienda online debería saber hacerlo o tenerlo automatizado.

📩 ¿Te gustaría que implementemos una auditoría automática mensual para tu web? Escríbenos y te lo dejamos funcionando.

Introducción

PrestaShop es una plataforma robusta para ecommerce, pero como cualquier software web, si no se configura y protege adecuadamente, puede quedar expuesta a ataques comunes como inyecciones, accesos no autorizados, subida de archivos maliciosos o explotación de módulos vulnerables.

En esta guía te mostramos cómo blindar tu PrestaShop contra ataques frecuentes, con prácticas probadas en seguridad web, configuración de servidor, limpieza de módulos, permisos, y más.

Índice

• 1. Proteger el acceso al backoffice
• 2. Controlar permisos de archivos y carpetas
• 3. Desactivar funciones PHP inseguras
• 4. Revisar y limpiar módulos innecesarios
• 5. Evitar exposición de archivos sensibles
• 6. Bloquear ejecución en carpetas de subida
• 7. Activar reglas de seguridad en el servidor
• 8. Conclusión y checklist

1. Proteger el acceso al backoffice

• 🔐 Cambia la ruta de acceso desde `/admin123/` a algo personalizado
• 💂‍♂️ Aplica protección por IP o contraseña adicional (htpasswd)
• 🔑 Usa doble autenticación (2FA)

2. Permisos recomendados de archivos

✔️ Usa chmod y chown desde consola para aplicarlos correctamente.

3. Desactivar funciones PHP peligrosas

Desde php.ini o panel de hosting:

disable_functions = exec,passthru,shell_exec,system,proc_open,popen

🔒 Estas funciones no son necesarias en PrestaShop y suelen ser objetivo de exploits.

4. Limpieza de módulos

• 🧹 Elimina módulos inactivos desde el backoffice o por SQL
• 💣 Revisa módulos de terceros sin mantenimiento
• 🧠 Desinstala los que no uses, no solo los desactives

DELETE FROM ps_module WHERE active = 0;

5. Evitar exposición de archivos sensibles

Bloquea el acceso directo a rutas como:

/config/, /var/, /vendor/, /classes/

✔️ Usa reglas en `.htaccess` o configuración del servidor:

RewriteRule ^(config|var|vendor|classes) - [F,L]

6. Bloquear ejecución de PHP en carpetas inseguras

Ejemplo para `/upload`:

<FilesMatch "\.php$">
  Deny from all
</FilesMatch>

💡 Crea un `.htaccess` con esta regla en cada carpeta de subida.

7. Seguridad desde el servidor

• Activa firewall o WAF si usas NGINX/Apache
• Usa CDN con protección como Cloudflare
• Revisa logs de errores o accesos sospechosos
• Configura alertas de integridad de archivos

8. Conclusión y checklist final

✅ Checklist rápida:

• Backoffice oculto o protegido
• Permisos seguros en carpetas clave
• Funciones PHP peligrosas desactivadas
• Módulos limpios y actualizados
• Archivos sensibles protegidos
• Firewall activo + logs revisados

📩 ¿Quieres que revisemos tu PrestaShop o lo reforcemos con reglas personalizadas? Escríbenos.