Hacking Prestashop

Comment prévenir et réparer les failles de sécurités sur Prestashop ? (ép. 108)

Se faire hacker est une expérience désagréable, mais je pense que vous pouvez être plus fort que Jack Sparrow avant qu’il mette le feu à votre navire Prestashop. Franchement, ça serait dommage de couler à cause d’une bande de vilains… sortez les canons !

Quand Prestashop est hacké c’est la galère

C’est toujours pareil, on se dit que ça arrive seulement aux autres… problème quand ça vous arrive c’est l’enfer. Vous ne pouvez plus vous connecter à votre back-office, votre Prestashop ne se charge plus… Vos clients hurlent au téléphone… les paiements ne passent plus et là vous commencez à transpirer « HOT ».

En fait il est plus facile d’anticiper le hacking, plutôt que de « réparer » parce que parfois les conséquences sont lourdes (y compris tout à coup Google qui commence à voir que votre shop débloque ou lui renvoie des caractères chinois… (ooohhh non il n’aime pas ça).

La cause de Hacking n°1 sur Prestashop sont les modules

Dans le dossier « /modules » de la boutique Prestashop, vous avez les modules standard certes… mais aussi les modules achetés, ou gratuits qui sont exposés à des failles de sécurité. Plus un module est populaire (même payant), plus vos chances de vous faire hacker sont grandes.

Ce qui est important c’est surtout d’éviter d’installer trop de modules si vous n’en avez pas besoin la méthode DESAKTIVTOU pour Prestashop le démontre très bien. Désinstallez et supprimez les modules qui sont « désactivés » ou que vous n’utilisez pas, supprimez les dossiers du genre « __module » ou « archives » ou « OLD ».

Voici quelques modules Prestashop sur lesquels vous devez faire attention :

  • explorerpro / à supprimer
  • sampledatainstall / à supprimer
  • colorpictures / à mettre à jour
  • gamification / à supprimer
  • ps_facetedsearch / à mettre à jour
  • pscartabandonmentpro / à mettre à jour
  • autoupgrade / à supprimer
  • ps_checkout / à mettre à jour

Les intrusions que je vois sur Prestashop en ce moment

Beaucoup de boutiques sont infectées par « bajatax » le principe est vicieux, en gros le hacker fait uploader un fichier à module Prestashop (par la faille) et ensuite une fois que le fichier est sur l’hébergement il va modifier des processus de Prestashop.

Par exemple, il va modifier le processus de login client et back-office pour ensuite récupérer les données et les envoyer à l’extérieur (on verra ça dans la vidéo) le but c’est que le hacker puisse récupérer un maximum d’informations sur vos clients et tous vos accès (oui ça fait un peu peur dit comme ça).

Oui mais c’est quoi le but du hacker ? Il a la haine ou bien ?

Certains de mes clients m’ont dit… « C’est peut-être un ancien employé qui me fait ça… ou c’est mon concurrent ! ». Ohhh non, en fait le hacker n’en fait pas une affaire personnelle, il veut juste hacker un maximum de boutiques Prestashop.

Imaginez, si par exemple des clients s’inscrivent sur votre shop et que le hacker récupère leurs identifiants qui sont par exemple « identiques » à leur compte « PayPal » (et il y’en a)… vous imaginez ce qu’il peut se passer ? C’est super rentable pour eux de faire ça, donc ils cherchent à infecter un maximum de boutiques.

Oui c’est normal ! Les solutions e-commerce populaires sont exposées aux hackers

Ce genre d’expérience est désagréable, mais on doit se raisonner… Internet c’est un parc public, rien n’est réellement sécurisé et inviolable dans le temps c’est une réalité… Il y’a des failles parfois, ça fait partie des règles du jeu ou sinon il faudrait exclure internet de son business.

Plus une solution e-commerce est populaire, plus les hackers sont nombreux autour de celle-ci (rien qu’à voir avec WordPress). Reste encore une question faut-il informer les clients du shop si on a été infecté…

Question délicate, car il faut faire un mailing massif sur tous les clients (même ceux qui n’ont pas la double optin / risque de blacklist) + parfois ça fait vraiment peur aux clients qui risquent ensuite de vous jeter des pierres plutôt que de vous remercier (alors que vous pensiez bien faire).

Sur cette question, c’est vraiment un choix éthique… mais bien aussi peser le pour et le contre de la démarche.

Pour ce tutoriel Prestashop vous avez à disposition :

  • Des exemples de fichiers infectés

Télécharger

Résumé de la vidéo : Rivalisez contre ceux qui veulent pirater votre Prestashop

  • Pour commencer on va voir les recommandations du côté de l’hébergement (accès FTP & base de données).
  • Pensez à supprimer les anciennes installations de PrestaShop, zone de dev… dossiers qui sont restés en pause.
  • Faites le grand nettoyage dans les modules gardez uniquement ce dont vous avez vraiment besoin, ne laissez pas les modules « désactivés ».
  • On va faire des recherches dans le projet Prestashop sur des chaines de caractères bien précises « sensibles » pour voir ce qu’il en sort.
  • Avec WinMerge on va aussi comparer le différentiel sur les fichiers pour voir si du code malveillant est présent.
  • Les fichiers du type « php.ini » / « user.ini » affectent le niveau de sécurité.
  • On va regarder aussi des fichiers infectés pour mieux comprendre où se trouvent les infections et comment les corriger.
  • Quand vous avez terminé, pensez à faire un check avec le script Prestashop XsamXadoo et le module gratuit Prestashop PHPUNIT.
  • Les accès au back-office Prestashop, c’est ce que vous devez changer en dernier.

13 commentaires sur “Comment prévenir et réparer les failles de sécurités sur Prestashop ? (ép. 108)”

  1. Après changement des mots de passe j’ai une erreur 500, ma boutique est inaccessible et on est vendredi soir, le service client OVH ne sera disponible que lundi.. je suis deg. Je vais perdre toutes les ventes de ce week end et plus encore..

  2. N y a t il pas un risque de déplacer le fichier « parameters.php » sur notre machine local ? j’ai pu voir que mon mot de passe est en clair dans ce fichier, ça me parait hyper dangereux d’ouvrir ce fichier, si jamais y a un trojan qui prend des captures d’écran sur la machine locale..
    Comment encrypté le mot de passe présent dans ce fichier svp ?
    Cordialement (et merci pour ce tuto)

    1. Bonjour,

      Concernant ce fichier il n’y a pas de risque à l’ouvrir, le mot de passe de la base de données Prestashop est obligatoire d’être en clair. Avoir ce mot de passe est inutile pour un Trojan tant qu’il n’a pas les accès FTP du serveur.

      A bientôt !

  3. Hello Germain,

    pour tester les dernière MAJ des modules – Thème et même de Presta qui corrige des failles de sécurité comment tu fais ? Notamment au niveau de la gestion de tes environnement de DEV/PROD. Perso j’ai que le presta en PROD et j’ai deja eu des soucis avec un update du theme ou tout le site était cassé.

    Je me demandé comment tu faisait pour gérer ce cas. Site web dupliqué mais non référencer ? Site dupliquer en local ? Gestion avec un GIT ?

    Merci de ta réponse.

    1. Hello,

      De mon côté je fais rarement des mises à jour de Prestashop, je patche seulement quand c’est « grave » et encore (tout dépend du site e-commerce / du client).

      En standard j’ai une version de la boutique Prestashop en local versionné avec GIT et la production qui est en ligne.

      Bien sûr on pourrait envisager beaucoup mieux, mais il faut aussi l’organisation et le budget qui vont avec.

      A bientôt !

  4. Bonjour,

    J’ai un gros problème sur ma boutique prestashop , je n’est plus accès à mes modules en BO et j’ai egalement un formulaire de CB qui s’affiche sur mon site juste avant de payer avec Paypal

    Merci de m’aider je suis perdu

    cordialement

    1. Bonjour,

      En premier lieu, essayez de contacter votre hébergeur pour voir s’il peut effectuer un SCAN de votre hébergement pour voir si des fichiers de PrestaShop sont détectés comme « infectés » (et éventuellement restaurer des fichiers sains à une date antérieure).

      Si aucune intrusion n’est détectée, il faudra idéalement qu’un professionnel PrestaShop, analyse les modules / potentielles failles sur votre boutique.

      À bientôt !

  5. Bonjour,
    J’ai un site prestashop version 1.6, récemment piraté (injection SQL). Je vais donc migrer sur la dernière version avec le correctif et un nouveau thème mais y a-t-il un moyen d’être sûr de ne pas embarquer ensuite des éléments infectés lors du transfert de la base de données ?
    Merci pour votre aide…!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *