Aumentar la seguridad en una tienda online Prestashop al eliminar Powered-By: Prestashop de las HTTP Response Headers
PrestaShop ha adquirido mucha popularidad en los últimos años, su facilidad de instalación y configuración han hecho de PrestaShop un software CMS de código abierto experto para crear tiendas online y caracterizado por la variedad de funcionalidad que incluye. Ofrece la versión clásica para descargar e instalar en un servidor propio y otra versión online. Tras instalar Prestashop en un servidor propio, al igual que cualquier otro software o página web creada a mano, hay que aumentar la seguridad de la tienda online cuando esta en producción.
Hay que segurizar las aplicaciones y una táctica es eliminar las cabeceras HTTP que no dan funcionalidad. Cuantas menos pistas se den en una página web sobre la forma de como esta construida la aplicación o los sistemas que utiliza, pues mejor. Ofrecer menos información técnica dificulta tanto a la competencia como a atacantes. Por lo tanto es importante fijarse en los pequeños detalles de la construcción de la página web e intentar protegerse. PrestaShop ahora introduce una cabecera HTTP en las cabeceras de respuesta llamada Powered-By: PrestaShop, que para lo único que se utiliza es para desvelar el software con el cual esta construida la página. Una de las cosas que se pueden hacer es eliminarla y dar una forma menos de descifrar con que esta construida la tienda online.
Cómo eliminar la cabecera Powered-By: Prestashop de las Response Headers
Para eliminar la cabecera de las Response Headers en Prestashop 1.7 hay que editar classes/controller/FrontController.php y buscar la funcion initHeader().
En la linea 914 se encuentra
header(‘Powered-By: PrestaShop’);
Eliminar directamente la linea de código o comentarla
//header(‘Powered-By: PrestaShop’);
Con esto se ha conseguido eliminar la cabecera de Prestashop que revela el software de construcción de la página.
Quitar powered by PrestaShop del WebService
Si se utiliza el servicio web de Prestashop también se puede eliminar la cabecera X-Powered-By: Prestashop Webservice, para ello es necesario modificar el fichero classes/webservice/WebserviceRequest.php y en la linea 1657 dentro de la función returnOutput() se puede encontrar ->setHeaderParams(‘X-Powered-By’, ‘PrestaShop Webservice’), se elimina esta linea de código o se comenta la linea directamente // ->setHeaderParams(‘X-Powered-By’, ‘PrestaShop Webservice’) y listo.
Esta es una manera de como quitar powered by PrestaShop e incluso que permite cambiar el texto creado por PrestaShop de las cabeceras y aumentar la seguridad de una tienda online desarrollada en Prestashop.