Un petit guide rapide sur la sécurité de votre PrestaShop

Le E-commerce a pris tellement de place au cours de ces dernières années, par conséquence, plusieurs plateformes en ligne ont vu le jour. Prestashop a gagné en popularité à l’échelle mondiale, grâce à sa nature open source. Webmaster67 a fait le choix de ce cms. Mais la sécurité de prestashop reste une préoccupation constante Cependant, comme toute boutique en ligne, la priorité absolue pour les clients est la sécurité de Prestashop.

Les 8 parties sensibles d'un E-commerce

Bien que la configuration de Prestashop soit facile, une grande prudence est nécessaire pour que votre boutique soit réellement sécurisé. Les E-commerce gèrent généralement des informations sensibles comme les détails de carte de crédit etc…  Les entreprises ont la responsabilité énorme de traiter ces données sensibles en toute sécurité.

Les attaquants sont constamment en train de voler ces données et de vendre sur le dark web à des prix très bas. Afin de sécuriser la boutique Prestashop, examinons les façons dont la sécurité Prestashop peut être exploitée.

 

1- Injection SQL dans Prestashop

En se qui concerne la sécurité de prestashop  il y a une vulnérabilité SQLi a été découverte. Cela s’est produit en raison du manque de désinfection des entrées dans l’un de ses modules. Le module vulnérable était le Responsive Mega Menu (Horizontal + Vertical + Dropdown) .

Avant cela encore , le composant a id_manifacturer. Via l’URL http://example.com/ajax/getSimilarManufacturer.php?id_manufacturer=3[et paf un code d’injection]. Ce composant était vulnérable à SQLi. En utilisant SQLi, l’attaquant peut:

Lire le contenu de la base de données.
Découvrir les informations de connexion de l’utilisateur, puis se connecter en tant qu’administrateur.

Menez d’autres attaques à partir des informations sensibles obtenues de la base de données. etc….

2- Script inter-site dans Prestashop

Plusieurs failles XSS ont été trouvées dans Prestashop ces dernières années. Cette vulnérabilité a permis de contourner la isCleanHtml()fonction. elle était souvent contourné le codage base64 . De plus, cela peut être utilisé pour injecter des codes HTML. Éditant ainsi l’affichage des messages ou de film pour adulte, pire un site similaire au votre juste pour récupéré des données bancaire de vos clients.

3- Exécution de code à distance dans Prestashop

Prestashop a souffert d’une vulnérabilité RCE. Le module responsable était Responsive Mega Menu Pro . L’URL complète est http://XXXXXXX/modules/bamegamenu/ajax_phpcode.php?code=echo XXXXX);.

En utilisant cela, l’attaquant pourrait :

Exécutez les commandes PHP sur le serveur.
Lire / modifier des fichiers sensibles.
Essayé d’augmenter les privilèges. Après cela, l’attaquant peut désormais exécuter des commandes en tant qu’administrateur. Terminant ainsi la prise de contrôle du système!

4- Prestashop Redirect Hack

Cette faille fut mon baptême du feu

Les acteurs malveillants essaient souvent d’injecter du code javascript de redirection. Par conséquent, lorsque les clients visitent le site, il les redirige généralement vers des sites pour adultes. Bien qu’il puisse parfois y avoir d’autres sites vendant des produits. Ou peut-être même récolter des clics. En particulier, les petits magasins sont les plus touchés. Ainsi, un hack de redirection à comme résultat:

  • le magasin est mis sur liste noire par les moteurs de recherche.
  • Redirigez jusqu’à 90% du trafic des utilisateurs.
  • Perte de confiance des utilisateurs dans le magasin.
  • La baisse des ventes due à la redirection de Malware.
  • Transforme votre boutique Prestashop en un garage à spam.

5- Admin Hack dans Prestashop

Même si cela ne concerne plus vraiment la version 1.7 de prestashop.

Souvent, le tableau de bord Prestashop était  piraté en raison de lacunes dans la sécurité de Prestashop.

Le panneau d’administration est l’une des zones les plus sensibles de la boutique.

Il doit être caché à l’accès public et avec un mot de passe sûr.

Cependant, une fois compromis, cela pourrait conduire à:

Création de plusieurs nouveaux comptes d’administrateur auparavant inconnus.
Modifie l’interface utilisateur du tableau de bord d’administration.
Les plugins de sécurité sont désactivés pour ouvrir plus d’attaques.
Le fournisseur d’hébergement suspend le compte pour abus.
La zone d’administration affiche une page vierge ou une liste de fichiers.
Une sécurité Prestashop faible peut révéler le tableau de bord d’administration aux attaquants. Parfois, l’attaquant peut utiliser des portes dérobées pour gagner en persistance sur le compte administrateur.

En ce qui concerne la sécurité de Prestashop, le tableau de bord d’administration est la ressource la plus cruciale.

6- Piratage de mots clés Google dans Prestashop

Parfois, le magasin peut afficher des pages ou vendre des produits auxquels il n’était pas destiné à l’origine. C’est très probablement le cas d’une injection de spam. Les attaquants compromettent la boutique et créent de fausses pages. Ces pages peuvent montrer des produits pour adultes ou contenir du contenu dans une autre langue. Lorsque des moteurs de recherche comme Google explorent le site Web pour l’indexation, ces pages sont répertoriées. Affectant donc les résultats de recherche du site.

7- Hack de carte de crédit dans Prestashop

Les transactions sensibles se produisent sur le magasin tous les jours. Certains commerçants choisissent de stocker les informations de carte de crédit de l’utilisateur pour des paiement en plusieurs fois. Par conséquent, la base de données devient une cible pour les attaquants. Chaque jour, divers logiciels malveillants et scripts volent des cartes de crédit. Certains scripts établissent une connexion à la base de données pour voler les informations de carte de crédit. Le tableau ps_payment_cc contient des colonnes sensibles comme id_order_payment,card_number,card_brand,card_expiration.

8-Autres attaques

Un jour , un pirate m’a laissé un gentil message, ta boutique est bien sécurisé, alors j’attaquerais ton serveur. 

Dans les grandes entreprise cela arrive sur des scénarios si simpliste que l’on pourrait très bien les mettre dans un film d’espion.

Ports ouverts
Lors de l’installation et de la configuration du serveur, certains ports peuvent avoir été laissés ouverts. Ce sont une invitation ouverte aux pirates. Certains moteurs de recherche comme « shodan » explorent Internet pour de telles erreurs de configuration. Les attaquants peuvent infecter le magasin à partir de ces ports ouverts. 

Modules obsolètes
Tout en obtenant un nouveau module, assurez-vous toujours qu’il a une bonne note de la communauté. Acheter le soit chez le devellopeur directement, soit sur prestashop addons, Des modules mal codés peuvent ajouter des portes dérobées. N’utilisez de modules gratuits que si vous en comprennez le code et par soucis de temps, ils sont pour les pirates une aubaine car les exploits sont accessibles au public.

 

Les meilleures pratiques de sécurité pour Prestashop par webmaster67

Il existe certaines méthodes pour éviter le piratage de votre boutique Prestashop. Ces pratiques sont simplissimes mais toujours très efficaces. Cependant, la possibilité d’une attaque sur la boutique Prestashop ne peut jamais être totalement évitée. Elle peut cependant être retardée par l’adoption de certains mécanismes. 

Sécurité Prestashop: utilisez SSL
L’activation de SSL renforce considérablement la sécurité de Prestashop. Il s’agit d’un protocole standard pour garantir la sécurité des communications entre Prestashop et les utilisateurs. SSL fonctionne en utilisant la cryptographie à courbe elliptique où deux paires de clés uniques sont générées. Cela peut aider à prévenir les attaques de l’homme du milieu sur Prestashop. Pour renforcer la sécurité de Prestashop, les administrateurs peuvent acheter un certificat SSL et activer SSL sur l’installation de Prestashop.

Sécurité Prestashop: solides informations d’identification
Assurez-vous que le mot de passe du tableau de bord administrateur est sécurisé. Évitez d’utiliser des informations d’identification par défaut ou codées en dur. De plus, certains mots de passe courants comme admin, mot de passe, qwerty, etc. ne doivent jamais être utilisés. De plus, gardez des mots de passe séparés pour FTP, cPanel, Dashboard etc.

Il est de la plus haute importance pour la sécurité de Prestashop qu’un mot de passe soit très fort.

Sécurité Prestashop: fichier .htaccess
Assurez-vous qu’aucun fichier principal de la boutique Prestashop n’est visible publiquement. Interdisez également les adresses IP indésirables. Tout cela pourrait être accompli en utilisant le fichier .htaccess. De plus, ce fichier pourrait aider à forcer l’utilisation de HTTPS et empêcher certaines des attaques par injection de script. Cependant, en cas de difficulté d’édition du fichier, consultez un expert !

Et sans oublier l’hébergement qui fait toute la différence: Merci 1&1ionos  pour sa rapidité d’action et ces efforts de préventions.

IONOS - Partenaire officiel