Sécuriser prestashop
|

Comment sécuriser un site PrestaShop

Parguillaume

PrestaShop est l’une des plateformes de commerce électronique les plus populaires dans le monde. Cependant, comme avec toute plateforme en ligne, la sécurité est primordiale pour protéger les données sensibles des clients et des entreprises. À partir de juillet 2022, on a observé une augmentation importante des failles de sécurité exploitées par des hackers. Dans cet article, nous allons examiner les principales raisons de cette recrudescence, ainsi que les mesures que vous pouvez prendre pour protéger votre boutique en ligne.

Les principales failles de sécurité:

  • blm.php une faille importante qui permet au hacker de lancer des requêtes POST sur votre site depuis un fichier créer à la racine de votre site intitulé blm.php. Ce dernier permet d’exporter des informations importante sur votre site;
  • PHPunit également identifiée comme CVE-2017-9841, est une vulnérabilité datant de 2017 qui affecte PHPUnit, un cadre de test unitaire couramment utilisé pour les applications PHP. Malgré son ancienneté, cette vulnérabilité continue d’être exploitée par des hackers pour cibler certains modules PrestaShop.
  • Faille du cache smarty: Injection SQL. Le problème est résolu dans la version 1.7.8.7. Il est conseillé aux utilisateurs de mettre à niveau. Les utilisateurs qui ne peuvent pas effectuer la mise à niveau peuvent supprimer la fonction de cache MySQL Smarty. Plus de détails ici: https://friends-of-presta.github.io/security-advisories/core/2022/07/25/core-CVE-2022-31181.html

Ceci n’est qu’un bref résumé d’une liste de hacks interminables vous l’aurez bien compris.

Voici également une liste de module à tenir à jour:

  • explorerpro / à supprimer
  • sampledatainstall / à supprimer
  • colorpictures / à mettre à jour
  • gamification / à supprimer
  • ps_facetedsearch / à mettre à jour
  • pscartabandonmentpro / à mettre à jour
  • autoupgrade / à supprimer
  • ps_checkout / à mettre à jour

Source: https://www.webbax.ch/2020/09/10/prestashop-anti-hacking/ (merci Germain 🙂 )

Plus récement:

  • scquickaccounting / mettre à jour
  • scexportcustomers / mettre à jour
  • posstaticblocks / à supprimer
  • advancedpopupcreator
  • shoppingfeed

La liste ne fait que s’allonger de jour en jour…

D’où proviennent ces failles ?

Certaines des ces failles viennent du core de PrestaShop, mais, le plus souvent cela est lié aux modules externes. Les versions 1.6.x (toutes les sous versions de 1.6) courent un grave danger si ces dernières ne sont pas maintenues. PrestaShop 1.7 est également impactée, la seule version qui à ce jour ne possède plus de failles de sécurité est la version 1.7.8.9 qui est sortie il y a tout juste une semaine (Avril 2023).

La version 8.0.4 est elle, considérée sans faille.

Comment se prémunir des failles de sécurité ?

Rester à jour est la première solution à adopter. Il y a quelques temps de cela, la poltique était de dire: « Si ça fonctionne on ne touche plus » ce temps est désormais révolut.

Mettre à jour PrestaShop: Cette action est assez fastidieuse dans certains cas, il est donc conseillé de faire une version de preproduction cachée aux yeux des moteurs de recherches et des utilisateurs afin d’y faire des crashs tests. Si les tests fonctionnent, vous pouvez les appliquer à la production.

Mettre à jour vos modules: Mettre à jour ses modules est très très important ! Les failles proviennent la plupart du temps de modules externes pas très bien développés ou non tenus à jour.

Les nombres de failles découvert dans les modules n’est que la partie cachée de l’iceberg

Supprimer les modules inutiles: Vous avez des modules inutiles, il faut supprimer, attention, j’insites sur le fait de supprimer un module et non juste le désactiver, même un module désactiver peut exécuter des failles de sécurité

Scanner votre boutique: Un nouvel outil vient de voir le jour: PrestaScan.

Cet outil est gratuit et permet de scanner votre boutique afin de faire le point sur les fichiers infectés, modules en défault et version de PrestaShop à jour ou non.

https://www.prestascan.com/fr/

Migrer sa boutique: Migrer sa boutique en 1.6 vers 1.7 ou 8 est la meilleure des solution à ce jour. Cette opération doit passer par une refonte, ce qui permet de repartir sur une base saine et à jour. En savoir plus ici => Migration PrestaShop

1pilot.io: Mettre en place 1pilot.io permet d’avoir la liste des modules à mettre à jour et de rester informé sur sa boutique en temps réél. Un article plus poussé sur 1pilot.io ici => Monitorer son PrestaShop avec 1pilot

Comment se tenir informé des failles de sécurité ?

Vous pouvez suivre les CVE (L’acronyme CVE, pour Common Vulnerabilities and Exposures en anglais, désigne une liste publique de failles de sécurité informatique) sur ce site par exemple: https://www.opencve.io/

S’inscrire sur le groupe Facebook de l’association PrestaShop France – Friends of Presta: ce groupe est gratuit est et l’association officielle la plus populaire de France pour la commauté PrestaShop.

https://www.facebook.com/groups/prestashopfrance

Suivre les CVE de Friends of Presta: https://friends-of-presta.github.io/security-advisories/core/2022/07/25/core-CVE-2022-31181.html

Voici une liste régulièrement mise à jour afin de suivre les failles souvent liées aux modules. Cette dernière est souvent accompagnée d’un patch pour corriger le problème.

Faire appel à un prestataire:

Si la tâche vous semble trop compliquée ou fastidieuse, n’hésitez pas à faire appel à un expert PrestaShop dans le domaine. Vous trouverez des pointures dans la communauté Francophone, vous pouvez également faire appel à nos services de maintenances techniques afin de sécuriser au mieux votre site et de veiller à ce dernier:

Maintenance technique pour site E-commerce PrestaShop

Remerciements

Un grand merci aux personnes qui travaillent à 100% sur les failles de sécurité à titre de bénévoles. L’association Friends of Presta communique beaucoup sur le sujet, vous pouvez souscrire à l’association ici: https://shop.friendsofpresta.org/6-adhesion.html

Un grand merci également à Vincent de TouchWeb – Infogérance Prestashop qui est à l’origine des découvertes de nombreuses failles dans l’ecosystem et qui, prends le temps de bien expliqué à nous, développeurs, comment se prémunir de ces failles pendant nos développements.

Vous souhaitez avoir un audit de sécurité ? Faire un point sur votre boutique ?

Nous sommes à l’écoute, n’hésitez pas à nous contacter via le formulaire ci-dessous:

Publications similaires

Installer prestashop avec mysql 5.7
| | |

Installer prestashop avec mysql 5.7

Parguillaume

Si vous rencontrez des erreurs, voici comment installer Prestashop (1.4 dans mon cas) avec mysql 5.7 Corriger les requêtes sql de l’installation de Prestashop Rendez vous dans le dossier /install/sql et modifiez le fichier db.sql Sous la première ligne : SET NAMES ‘utf8’; Rajoutez: SET NAMES ‘utf8’; SET sql_mode = « ERROR_FOR_DIVISION_BY_ZERO,NO_ZERO_DATE,NO_ZERO_IN_DATE,NO_AUTO_CREATE_USER »; Puis recherchez CREATE TABLE…

[RÉSOLU] les bons de réductions ne s’affichent pas dans le compte client.
| |

[RÉSOLU] les bons de réductions ne s’affichent pas dans le compte client.

Parguillaume

Bonjour à tous, Si comme moi vous n’avez pas les bons de réductions qui s’affichent dans le compte client mais bien dans la panier voici la solution. Corriger le bug de Prestashop En créant des bons de réductions, je me suis rendu compte qu’ils s’affichaient bien dans le panier et backoffice, mais quand je me…

Retirer son site de chez OVH
| | | | | |

Retirer son site de chez OVH

Parguillaume

Si vous aussi vous en avez ras la casquette des multiples pannes chez ovh, voici comment retirer votre site. Si vous avez un site sous wordpress ou Prestashop, ce n’est pas très compliqué, Que faire pour changer son site web d’hébergement ? la premiere choses à faire est de prendre une autre offre d’hébergement, je…

PRESTASHOP – Corriger le problème de déclinaisons de prix avec Google Shopping
| | | |

PRESTASHOP – Corriger le problème de déclinaisons de prix avec Google Shopping

Parguillaume

Bonjour à tous, Comme vous le savez, Prestashop possède un problème avec les prix des déclinaisons produits. En effet, Google ne détecte aucun changement de prix lors du passage du robot sur les urls des déclinaisons et en voici les raisons.