El módulo Faceted Search de PrestaShop, también conocido por su nombre técnico ps_facetedsearch, ha sido señalado por una vulnerabilidad de seguridad importante. Y no, no hablamos del típico aviso menor que puedes dejar “para cuando tenga un rato”: según el propio proyecto PrestaShop, bajo ciertas condiciones, peticiones manipuladas podrían ser procesadas de forma insegura por el módulo y llegar a permitir ejecución de código no autorizado en el servidor, sin necesidad de cuenta ni autenticación.
Mi recomendación en este caso es tratarlo como una revisión prioritaria. No hace falta entrar en pánico, pero sí actuar con orden: comprobar si tienes el módulo instalado, mirar la versión, actualizar a la versión corregida y revisar si hay señales de que la tienda haya podido ser tocada antes de aplicar el parche.
Qué ha pasado con el módulo Faceted Search de PrestaShop
El problema afecta al módulo oficial Faceted Search, el módulo que muchas tiendas PrestaShop usan para mostrar filtros en categorías: por precio, talla, color, marca, atributos, características o disponibilidad.
En la práctica, es un módulo muy común porque mejora la navegación del catálogo. Por eso esta vulnerabilidad es especialmente delicada: no afecta a una extensión rara o marginal, sino a un componente bastante habitual en tiendas reales.
PrestaShop publicó el aviso de seguridad el 3 de junio de 2026 y recomienda actualizar el módulo a la versión 4.0.4 lo antes posible. La propia comunicación oficial insiste en que actualizar a esa versión es la forma completa de cerrar el problema.
Qué es ps_facetedsearch y por qué es importante
ps_facetedsearch es el nombre técnico del módulo Búsqueda por facetas o Faceted Search. Aunque en el panel de administración lo veas con un nombre más amigable, internamente suele encontrarse en la ruta:
/modules/ps_facetedsearch/Este módulo interviene en páginas de categoría, filtros de productos y resultados refinados. Por eso, aunque no lo hayas instalado manualmente, puede estar presente en muchas tiendas PrestaShop como módulo nativo u oficial.
En mi caso, al plantear una guía sobre esta vulnerabilidad, no lo enfocaría como una simple “actualización de módulo”. Lo enfocaría como una revisión de seguridad completa: versión, archivos, logs, caché, contraseñas y estado general de la tienda.
Por qué esta vulnerabilidad es seria
La gravedad viene por tres motivos:
- Puede afectar a tiendas con el módulo instalado en versiones vulnerables.
- No requiere autenticación, así que no hablamos de un fallo limitado a usuarios con acceso al Back Office.
- Puede derivar en ejecución de código no autorizado, que es uno de los escenarios más sensibles en seguridad web.
Dicho de forma clara: si una tienda ejecutó una versión vulnerable de ps_facetedsearch, actualizar es obligatorio, pero también conviene comprobar si ya hubo actividad sospechosa antes de la actualización.
Diferencia entre un problema de seguridad y un problema de caché
Aquí conviene no mezclar temas. Existe también otro problema conocido relacionado con Faceted Search y la caché/base de datos, donde el módulo puede generar tablas o datos de caché que no se limpian correctamente y acaban causando problemas de rendimiento o hosting. Infomaniak, por ejemplo, explica soluciones como desactivar la caché del módulo o usar un cron/webcron para limpiar periódicamente esa información.
Pero eso no es lo mismo que la vulnerabilidad de seguridad corregida en ps_facetedsearch 4.0.4.
Una cosa es:
“El módulo me llena la base de datos o genera problemas de rendimiento.”
Y otra muy distinta es:
“El módulo tiene una vulnerabilidad que puede permitir ejecución de código no autorizado.”
Para la keyword “vulnerabilidad prestashop modulo Faceted Search”, el foco debe estar en la segunda.
Versiones afectadas y versión segura del módulo
La información clave es esta:
| Elemento | Detalle |
|---|---|
| Módulo afectado | Faceted Search |
| Nombre técnico | ps_facetedsearch |
| Versiones vulnerables | De la 3.0.0 a la 4.0.3 incluida |
| Versión corregida | 4.0.4 o superior |
| Tiendas afectadas | PrestaShop 1.7.1.0 o superior con versión vulnerable del módulo |
PrestaShop indica que la vulnerabilidad afecta a ps_facetedsearch desde la versión 3.0.0 hasta la 4.0.3, ambas dentro del rango afectado, en tiendas con PrestaShop 1.7.1.0 o posterior. La corrección está disponible en ps_facetedsearch 4.0.4.
Qué versiones de ps_facetedsearch son vulnerables
Si tu tienda tiene instalada una versión entre estas:
ps_facetedsearch 3.0.0
ps_facetedsearch 3.x
ps_facetedsearch 4.0.0
ps_facetedsearch 4.0.1
ps_facetedsearch 4.0.2
ps_facetedsearch 4.0.3debes considerarla vulnerable y actualizar.
Qué versión debes instalar
La versión recomendada es:
ps_facetedsearch 4.0.4 o superiorPrestaHeroes también resume el mismo dato: módulo afectado Faceted Search, nombre técnico ps_facetedsearch, versiones afectadas 3.0.0 → 4.0.3 y versión corregida 4.0.4+.
Cómo comprobar la versión desde el Back Office
Para revisar la versión:
- Entra al Back Office de PrestaShop.
- Ve a Módulos > Gestor de módulos.
- Busca Faceted Search o Búsqueda por facetas.
- Comprueba la versión instalada.
- Si aparece actualización disponible, actualiza.
- Después de actualizar, confirma que figura como 4.0.4 o superior.
Yo no daría por hecho que “si no lo uso, no importa”. Si está instalado, conviene revisarlo. Y si no se usa, puede ser mejor hacer copia y eliminarlo correctamente.
Qué hacer si tienes Faceted Search instalado
La acción correcta depende de tu caso. Esta es la forma más sencilla de decidir.
| Situación | Riesgo | Acción recomendada |
|---|---|---|
| El módulo está instalado y activo | Alto si está en versión vulnerable | Actualizar a 4.0.4 o superior |
| Está instalado pero desactivado | Requiere revisión | Hacer copia y eliminar si no se usa |
| Usas otro módulo de filtros | Depende | Comprobar si ps_facetedsearch sigue instalado |
| No puedes actualizar ahora | Alto | Aplicar mitigación temporal y planificar actualización |
| Ves archivos sospechosos | Crítico | No borrar sin copia; revisar como incidente |
Caso 1: el módulo está instalado y activo
Si el módulo aparece en el gestor de módulos y está activo, revisa la versión. Si es de la 3.0.0 a la 4.0.3, actualiza a 4.0.4 o superior.
Después:
- limpia la caché;
- prueba páginas de categoría;
- revisa que los filtros siguen funcionando;
- comprueba que no se han roto URLs, combinaciones o atributos;
- revisa la carpeta del módulo por si hay archivos inesperados.
PrestaShop recomienda revisar archivos inesperados dentro de modules/ps_facetedsearch/ y entradas inusuales en los logs de acceso, especialmente peticiones repetidas o malformadas contra esa ruta.
Caso 2: el módulo está instalado pero no lo usas
Si tienes Faceted Search instalado pero no lo utilizas, yo no lo dejaría ahí “por si acaso”. Los módulos que no se usan también pueden ampliar la superficie de ataque.
La acción prudente sería:
- Hacer copia de la carpeta:
/modules/ps_facetedsearch/- Desinstalar el módulo desde el Back Office.
- Eliminar archivos si PrestaShop ofrece esa opción.
- Limpiar caché.
- Probar la tienda.
La copia previa es importante porque, si hubiera archivos sospechosos dentro, borrarlos sin conservar evidencia puede complicar una revisión posterior.
Caso 3: usas otro módulo de filtros
Muchas tiendas usan módulos alternativos como filtros avanzados de terceros. Eso no significa automáticamente que ps_facetedsearch no esté instalado.
PrestaHeroes hace una distinción útil: aunque el aviso no diga que otros módulos de filtros estén afectados, una tienda puede usar otro sistema de filtros y aun así conservar el módulo nativo Faceted Search instalado en segundo plano.
Por tanto, revisa igualmente:
Módulos > Gestor de módulos > Faceted SearchSi no lo usas y está instalado, plantéate hacer copia y eliminarlo.
Caso 4: no puedes actualizar inmediatamente
A veces una tienda tiene personalizaciones, dependencias o procesos de despliegue que impiden actualizar en el momento. Aun así, no conviene dejarlo sin resolver.
PrestaShop indica que, si no puedes instalar la nueva versión de inmediato, usuarios avanzados pueden aplicar el cambio oficial directamente desde el código fuente, aunque lo presenta como una solución puente, no como destino final.
Mi recomendación editorial para una tienda real sería:
- no tocar producción sin copia;
- probar primero en staging si existe;
- aplicar el parche solo si sabes lo que haces;
- programar la actualización completa a 4.0.4 o superior cuanto antes.
Cómo actualizar Faceted Search a la versión segura
Actualizar el módulo es el paso central. Todo lo demás ayuda, pero no sustituye la actualización.
Actualización desde el gestor de módulos
La vía más sencilla es:
- Entrar al Back Office.
- Ir a Módulos > Gestor de módulos.
- Buscar Faceted Search.
- Pulsar en Actualizar si aparece disponible.
- Confirmar que queda instalada la versión 4.0.4 o superior.
PrestaShop recomienda este camino y, si la actualización no aparece todavía en el Back Office, descargar la versión corregida desde la página oficial de release e instalarla manualmente.
Instalación manual si no aparece la actualización
Si no ves la actualización en el panel:
- Descarga el paquete oficial de
ps_facetedsearch 4.0.4. - Haz copia de archivos y base de datos.
- Sube o instala el módulo desde el Back Office.
- Comprueba la versión.
- Limpia caché.
- Prueba categorías, filtros y navegación.
Aquí es donde conviene tener cuidado: si el módulo está personalizado, una actualización directa puede sobrescribir cambios. Por eso, en tiendas con modificaciones, mejor probar antes en una copia.
Limpiar caché y probar las páginas de categoría
Después de actualizar, no cierres la pestaña y te olvides. Comprueba:
- páginas de categoría;
- filtros por atributos;
- filtros por precio;
- filtros por marca;
- paginación;
- URLs amigables;
- rendimiento de carga;
- errores 500;
- errores en logs.
También es buena idea limpiar la caché desde:
Parámetros avanzados > RendimientoSi todo funciona correctamente, el primer gran paso está hecho.
Cómo saber si tu tienda PrestaShop pudo estar comprometida
Actualizar cierra el punto de entrada conocido, pero no demuestra por sí solo que la tienda esté limpia. Esta frase es importante: actualizar no equivale automáticamente a limpiar una tienda ya comprometida.
Si la tienda ejecutó una versión vulnerable, conviene revisar señales.
Archivos sospechosos en /modules/ps_facetedsearch/
Revisa especialmente esta ruta:
/modules/ps_facetedsearch/Busca:
- archivos
.phpque no reconozcas; - archivos con nombres raros;
- fechas de modificación recientes;
- scripts ofuscados;
- archivos subidos en subcarpetas inusuales;
- código con funciones como
eval,base64_decode,shell_exec,systemo similares.
PrestaShop recomienda buscar archivos PHP inesperados dentro del directorio del módulo y sus subdirectorios, ya que cualquier archivo extra o desconocido puede ser una señal de alerta.
Señales raras en los logs de acceso
Revisa los logs del servidor, sobre todo peticiones hacia:
/modules/ps_facetedsearch/Señales sospechosas:
- muchas peticiones repetidas a la misma ruta;
- parámetros extraños;
- cadenas largas o codificadas;
- intentos desde IPs desconocidas;
- errores 404 o 500 repetidos;
- peticiones POST donde no deberían aparecer;
- tráfico anormal antes de la actualización.
No hace falta ser paranoico, pero sí metódico. Si ves algo raro, no lo trates como una simple incidencia visual.
Otras carpetas que conviene revisar
Aunque la vulnerabilidad esté en ps_facetedsearch, si un atacante logró ejecutar código, podría haber dejado archivos en otros puntos.
Revisa también:
/modules/
/themes/
/img/
/upload/
/download/
/override/Y, si tienes acceso, compara con una copia limpia o con el repositorio original del módulo.
Qué hacer si encuentras archivos sospechosos
Si encuentras archivos raros, el peor impulso es borrar todo corriendo. Lo entiendo: ves algo sospechoso y quieres quitarlo. Pero en seguridad, borrar sin copia puede destruir pistas útiles.
Por qué no debes borrar nada sin hacer copia
Antes de borrar:
- Descarga una copia de los archivos sospechosos.
- Guarda la fecha y ruta donde estaban.
- Conserva logs de acceso y error.
- Haz copia completa de archivos y base de datos.
- Documenta qué has encontrado.
Después ya podrás limpiar, pero con evidencias guardadas.
PrestaShop también advierte que, si encuentras archivos inesperados, actividad sospechosa en logs u otros signos de compromiso, no debes asumir que actualizar el módulo sea suficiente: una tienda ya comprometida necesita investigación y limpieza.
Cuándo cambiar contraseñas y credenciales
Cambia credenciales cuando la tienda esté revisada o, como mínimo, cuando hayas controlado el incidente. Especialmente:
- contraseña del Back Office;
- usuarios administradores;
- FTP/SFTP;
- SSH;
- base de datos;
- panel de hosting;
- claves API;
- accesos de módulos externos;
- accesos de empleados o proveedores.
No sirve de mucho cambiar contraseñas si todavía hay una puerta trasera activa dentro de la tienda.
Cuándo pedir una revisión técnica o forense
Pide ayuda técnica si:
- encuentras archivos PHP desconocidos;
- el hosting te avisa de malware;
- aparecen redirecciones raras;
- Google marca la tienda como peligrosa;
- ves pedidos, clientes o administradores sospechosos;
- hay cambios que nadie reconoce;
- no sabes interpretar los logs.
En una tienda online, la seguridad no es solo “que la web cargue”. También están los datos de clientes, pedidos, integraciones, pagos y reputación.
Medidas extra de seguridad después de actualizar
Actualizar ps_facetedsearch a 4.0.4 o superior es lo principal. Pero una buena estrategia de seguridad no se queda ahí.
WAF, Cloudflare y reglas de protección
Un WAF puede ayudar a bloquear patrones de ataque antes de que lleguen a PrestaShop. Cloudflare u otros servicios similares también pueden aportar reglas de protección en el borde.
Pero hay que entenderlo bien: PrestaShop lo plantea como una capa adicional, no como sustituto de la actualización. Un WAF puede reducir ataques oportunistas, pero no cierra la vulnerabilidad del módulo por sí solo.
Desactivar funciones PHP peligrosas
Otra medida útil es restringir funciones PHP que suelen usarse para ejecutar comandos del sistema.
PrestaShop menciona funciones como:
exec
system
shell_exec
passthru
proc_open
popen
pcntl_execLa idea es limitar el daño si algún código no autorizado llega a ejecutarse. Eso sí: antes de aplicarlo en producción, pruébalo, porque algunos módulos o configuraciones de hosting podrían necesitar funciones concretas.
Mantener módulos, core y backups al día
La higiene básica sigue siendo clave:
- usar una versión mantenida de PrestaShop;
- actualizar módulos oficiales;
- revisar módulos de terceros;
- eliminar módulos que no se usan;
- hacer backups frecuentes;
- comprobar que los backups se pueden restaurar;
- monitorizar avisos de seguridad;
- limitar accesos al Back Office;
- usar contraseñas fuertes y doble factor si está disponible.
PrestaHeroes añade una nota relevante para ramas concretas: si la tienda está en PrestaShop 8.2 o 9.1, recomienda actualizar también el core a 8.2.6+ o 9.1.1+.
Protege tu tienda prestashop
Usa esta lista como guía práctica:
| Revisión | Acción |
|---|---|
| Comprobar si Faceted Search está instalado | Buscarlo en Módulos > Gestor de módulos |
| Revisar versión | Si está entre 3.0.0 y 4.0.3, actualizar |
| Instalar versión segura | Actualizar a 4.0.4 o superior |
| Si no aparece actualización | Descargar release oficial e instalar manualmente |
| Si no usas el módulo | Hacer copia y eliminarlo correctamente |
| Revisar archivos | Mirar /modules/ps_facetedsearch/ |
| Revisar logs | Buscar peticiones raras a la ruta del módulo |
| Si hay archivos sospechosos | No borrar sin copia; tratar como incidente |
| Limpiar caché | Probar categorías y filtros |
| Reforzar seguridad | WAF, backups, contraseñas, módulos al día |
Sobre la vulnerabilidad del módulo Faceted Search
La vulnerabilidad del módulo Faceted Search de PrestaShop no debería tratarse como una actualización menor. Si tienes ps_facetedsearch entre las versiones 3.0.0 y 4.0.3, la acción recomendada es actualizar a 4.0.4 o superior cuanto antes.
Mi forma de abordarlo sería clara: primero cerrar el fallo, luego comprobar si la tienda pudo haber sido afectada y, por último, reforzar la seguridad general. Actualizar es imprescindible, pero si ya había archivos sospechosos o actividad rara en logs, hay que mirar más allá del módulo.
Dudas de la comunidad
¿Actualizar a 4.0.4 es suficiente?
Actualizar a ps_facetedsearch 4.0.4 cierra la vulnerabilidad conocida, pero no garantiza que una tienda ya comprometida quede limpia. Si hubo explotación previa, hay que revisar archivos, logs, usuarios, credenciales y posibles puertas traseras.
¿Debo desinstalar Faceted Search si no lo uso?
Sí, si no lo usas, lo recomendable es hacer copia de la carpeta del módulo y eliminarlo correctamente desde el Back Office. Un módulo instalado aunque esté olvidado puede aumentar la superficie de riesgo.
¿Esta vulnerabilidad afecta a todos los módulos de filtros?
No. El aviso se refiere al módulo oficial Faceted Search, cuyo nombre técnico es ps_facetedsearch. Si usas otro módulo de filtros, revísalo igualmente, pero no asumas que está afectado por este aviso concreto.
¿Es lo mismo que el problema de caché de Faceted Search?
No. El problema de caché o base de datos está relacionado con rendimiento o acumulación de datos. La vulnerabilidad de seguridad corregida en 4.0.4 es un problema distinto y más crítico.
¿Qué hago si mi hosting me avisa de malware?
No te limites a actualizar. Haz copia de archivos y base de datos, conserva evidencias, revisa /modules/ps_facetedsearch/, analiza logs, cambia credenciales cuando la tienda esté controlada y pide una revisión técnica si no puedes confirmar el alcance.
¿Qué ruta debo revisar primero?
La ruta principal es:
/modules/ps_facetedsearch/Busca archivos PHP inesperados, fechas recientes o código extraño. Después revisa también otras carpetas sensibles como /modules/, /themes/, /upload/, /download/ y /override/.
