Guide de sécurité PrestaShop – Tout ce que vous devez savoir

Votre site PrestaShop est-il à l’abri des pirates informatiques ? En matière de commerce électronique, la sécurité devrait être l’une de vos principales préoccupations, car au final, elle peut vous coûter cher. Au cours des dernières semaines, nous avons traité plus de 100 failles de sécurité dans les sites PrestaShop et il ne semble pas que cela ralentisse encore. Nous avons vu plus de 3 douzaines de sites totalement supprimés de leurs serveurs.

Nous avons vu des sites qui ont l’air bien et qui fonctionnent bien, mais qui ont des portes dérobées, nous en avons vu d’autres qui ont été convertis en sites de phishing pour avoir volé des mots de passe et des informations sur les cartes de crédit.

Votre site est-il sûr ?

Malheureusement, la réponse est plus que probable. Je voudrais souligner une chose en entrant dans le détail, c’est qu’aucune vulnérabilité n’a été trouvée dans PrestaShop lui-même. Toutes les personnes que nous avons vues se trouvent dans un module ou un thème tiers. Cela étant dit, même les modules payants de PrestaShop ont été affectés ainsi que d’autres modules en vente par des vendeurs tiers sur le magasin de modules complémentaires. Les modules vulnérables ne se limitent pas seulement à la boutique d’addons, ThemeForest (Envato) a également été touché, ainsi que le forum de PrestaShop où vous pouvez télécharger des modules gratuits.

La raison pour laquelle je dirais qu’aucun site n’est sûr, c’est que l’ensemble des hacks continuent d’arriver. Les hackers trouvent chaque jour de nouveaux modules qui peuvent être piratés. Cela rend nos efforts de plus en plus difficiles pour arrêter les pirates, ce qui est presque impossible de notre point de vue de la gestion des sites de nos clients. Avec le temps et le coût impliqués dans la vérification de tous les modules de PrestaShop, il est tout simplement impossible de le faire à ce stade.

Un peu plus sur les pirates informatiques

Pour les lecteurs qui veulent en savoir un peu plus sur ce qui se passe, sur le plan technique, laissez-moi vous expliquer ce dont nous nous occupons. Le mois dernier, deux outils automatisés ont été mis en place pour pirater le thème Warehouse et Attribute Wizard Pro. Les deux modules présentaient la même vulnérabilité, ils ne vérifiaient pas si vous étiez connecté lorsque vous téléchargez des fichiers. Cela a été corrigé depuis dans le thème et le module, mais tout le monde n’est pas corrigé. Dans le même temps, les personnes qui ont publié les hacks ont trouvé d’autres modules qui présentaient les mêmes vulnérabilités. Ils ont créé un scanner automatique qui scanne les sites web à la recherche des modules et tente de les pirater. Vous trouverez ci-dessous une liste des modules qui ont été analysés dans les journaux

/home/###/www/modules/columnadverts
/home/###/www/modules/soopamobile
/home/###/www/modules/soopabanners
/home/###/www/modules/vtermslideshow
/home/###/www/modules/simpleslideshow
/home/###/www/modules/produits
/home/###/www/modules/page d’accueil
/home/###/www/modules/advancedslider
/home/###/www/modules/cartabandontpro
/home/###/www/modules/videostab
/home/###/www/modules/wg24themeadministration
/home/###/www/modules/fieldvmegamenu
/home/###/www/modules/panneau optionnel
/home/###/www/modules/idx_config
/home/###/www/modules/attributwizardpro