Prestashop Security

Un guide complet de la sécurité de la boutique PrestaShop

Published on: May 22, 2020

Un guide complet de la sécurité de la boutique PrestaShop

Le commerce électronique a pris de l’ampleur au cours de ces dernières années. En conséquence, plusieurs plates-formes en ligne comme Magento, Opencart et Prestashop ont vu le jour. Prestashop a gagné en popularité à l’échelle mondiale, grâce à sa nature open source. Cependant, comme toute boutique en ligne, la priorité absolue pour les clients est la sécurité Prestashop. Plusieurs problèmes de sécurité Prestashop ont été découverts ces dernières années. Selon le livre  PrestaShop Module Development ,

Sécurité Prestashop: Hacks courants dans Prestashop

Bien que la configuration de Prestashop soit facile, beaucoup de précautions sont nécessaires pour assurer sa sécurité. Les magasins en ligne gèrent généralement des informations sensibles telles que les détails de carte de crédit et les entreprises ont la responsabilité énorme de traiter ces données sensibles en toute sécurité. Les attaquants sont constamment en train de voler ces données et de vendre sur le dark web à des prix très bas. Afin de sécuriser la boutique Prestashop, examinons les façons dont la sécurité Prestashop peut être exploitée.

Injection SQL dans Prestashop

Une vulnérabilité SQLi a été découverte dans Prestashop. Cela s’est produit en raison du manque de nettoyage des entrées dans l’un de ses modules. Le module vulnérable était le  Responsive Mega Menu (Horizontal + Vertical + Dropdown) . Un SQLi pourrait être injecté via des appels de fonction dans le paramètre de code. Cela a été surnommé CVE-2018-8824. Avant cela, le composant a id_manifacturer été trouvé sujet à SQLi. Via l’URL http://example.com/ajax/getSimilarManufacturer.php?id_manufacturer=3[SQL-injection]. Ce composant était vulnérable à SQLi aveugle. En utilisant SQLi, l’attaquant peut:

  • Lisez le contenu de la base de données.
  • Découvrez les informations de connexion de l’utilisateur, puis connectez-vous en tant qu’administrateur.
  • Volez les informations de carte de crédit de l’utilisateur au cas où elles seraient stockées localement.
  • Menez d’autres attaques à partir des informations sensibles obtenues de la base de données.
Sécurité Prestashop

Script intersite dans Prestashop

Plusieurs failles XSS ont été trouvées dans Prestashop cette année. Une vulnérabilité découverte au début de l’année a été surnommée CVE-2018-5681. Cependant, il fallait que l’attaquant se connecte d’abord au système, afin de l’exploiter. L’autre vulnérabilité XSS plus grave se trouvait dans le module Formulaire de contact . C’était plus grave car c’était de nature persistante. Cette vulnérabilité a permis de contourner la isCleanHtml()fonction. Il pourrait être contourné en utilisant le  codage base64 . De plus, cela peut être utilisé pour injecter des codes HTML. Editant ainsi l’affichage des messages.

Sécurité Prestashop XSS

Toutes les entrées fournies dans l’image sont au format base64. Les deux, une fois décodés, le seraient <script>alert()</script>. Ainsi, tous les messages envoyés à l’aide du formulaire de contact seront visibles par l’administrateur après la connexion. Ainsi, en utilisant cela, un attaquant peut:

  • Injectez tout d’abord le code malveillant dans les messages.
  • Chargez le cookie d’administration volant des scripts d’un domaine malveillant.
  • Après avoir obtenu le cookie, l’attaquant peut se connecter en tant qu’administrateur.
  • Cela ouvre le site à toutes sortes d’attaques supplémentaires.
  • De plus, l’attaquant peut accrocher le navigateur de l’administrateur et lancer des exploits de navigateur.

Exécution de code à distance dans Prestashop

Prestashop a souffert d’une vulnérabilité RCE cette année. Le module responsable était  Responsive Mega Menu Pro . L’URL complète est http:///modules/bamegamenu/ajax_phpcode.php?code=echo exec(id);. Surnommé CVE-2018-8823 , ce problème a permis aux attaquants d’exécuter du code PHP arbitrairement sur le serveur. En utilisant cela, l’attaquant pourrait avoir:

  • Exécutez les commandes PHP sur le serveur.
  • Lire / modifier des fichiers sensibles.
  • J’ai essayé d’augmenter les privilèges. Après cela, l’attaquant peut désormais exécuter des commandes en tant qu’administrateur. Terminant ainsi la prise de contrôle du système!

Escalade de privilèges dans Prestashop

Prestashop a souffert d’un problème d’escalade de privilèges qui a été surnommé  CVE-2018-13784 . Ce problème était dû à une mauvaise gestion du cryptage des cookies. Prestashop a utilisé le chiffrement Blowfish / ECD ou AES qui était vulnérable aux attaques de remplissage. Un attaquant pourrait altérer le contenu des cookies pour obtenir des privilèges d’administrateur. Ainsi, accéder aux ressources non destinées à l’attaquant. En exploitant cela, l’attaquant peut:

  • Obtenez une session client.
  • Volez des informations sensibles telles que les informations client, les commandes, les informations de carte de crédit, etc.
  • Obtenez l’accès au tableau de bord d’administration via CSRF ou d’autres attaques. Cela peut également conduire à l’exécution de code à distance.

Prestashop Redirect Hack

Les acteurs malveillants tentent souvent d’injecter du code javascript de redirection malveillant. Par conséquent, lorsque les clients visitent le site, il les redirige généralement vers des sites pour adultes. Bien qu’il puisse parfois y avoir d’autres sites vendant des produits. Ou peut-être même récolter des clics pour l’attaquant. Ce sont surtout les petits magasins qui sont les plus touchés. Ainsi, un hack de redirection Prestashop peut:

  • Résultat: le magasin est mis sur liste noire par les moteurs de recherche.
  • Redirigez jusqu’à 90% du trafic des utilisateurs.
  • Perte de confiance des utilisateurs dans le magasin.
  • La baisse des ventes due à la redirection de malware.
  • Transforme votre boutique Prestashop en un garage anti-spam.

Admin Hack dans Prestashop

Souvent, le tableau de bord Prestashop est piraté en raison de lacunes dans la sécurité de Prestashop. Le panneau d’administration est l’une des zones les plus sensibles du magasin. Il doit être caché de l’accès public et avec un mot de passe sûr. Cependant, une fois compromis, cela pourrait conduire à:

  • Création de plusieurs nouveaux comptes d’administrateur auparavant inconnus.
  • Modifie l’interface utilisateur du tableau de bord d’administration.
  • Les plugins de sécurité sont désactivés pour ouvrir plus d’attaques.
  • Le fournisseur d’hébergement suspend le compte pour abus.
  • La zone d’administration affiche une page vierge ou une liste de fichiers.

Une sécurité Prestashop faible peut révéler le tableau de bord d’administration aux attaquants. Parfois, l’attaquant peut utiliser des portes dérobées pour gagner en persistance sur le compte administrateur. Par conséquent, en matière de sécurité Prestashop, le tableau de bord d’administration est la ressource la plus cruciale. Par conséquent, les administrateurs du site doivent le sécuriser en suivant les pratiques de sécurité .

Piratage de mots clés Google dans Prestashop

Parfois, le magasin peut afficher des pages ou vendre des produits auxquels il n’était pas destiné à l’origine. C’est très probablement le cas d’une injection de spam. Les attaquants compromettent la boutique et créent de fausses pages. Ces pages peuvent montrer des produits pour adultes ou contenir du contenu dans une autre langue. Lorsque des moteurs de recherche comme Google explorent le site Web pour l’indexation, ces pages sont répertoriées. Affectant donc les résultats de recherche du site.

Ainsi, lorsque les utilisateurs recherchent un site sur Internet, il les affiche et les redirige vers les pages de spam. Cependant, les moteurs de recherche ont des filtres anti-malware. En conséquence, le magasin peut être mis sur liste noire pour le contenu spam ou les logiciels malveillants. Cela avertit les utilisateurs chaque fois qu’ils procèdent sur le site. Ainsi, le trafic des utilisateurs plonge et les ventes chutent à presque zéro. Certaines des infections typiques de ce type sont le hack de Viagra Cialis et le tristement célèbre mot-clé japonais Hack . Il a également été observé que les attaquants utilisent le camouflage pour éviter la détection. Par conséquent, la détection du spam est un processus minutieux et nécessite une inspection du code!

Piratage de mots clés japonais

Hack de carte de crédit dans Prestashop

Les transactions sensibles se produisent sur le magasin tous les jours. Certains fournisseurs choisissent de stocker les informations de carte de crédit de l’utilisateur tandis que d’autres ne le font pas. Par conséquent, la base de données devient une cible mûre pour les attaquants. Chaque jour, divers logiciels malveillants et scripts volent des cartes de crédit. Certains scripts établissent une connexion à la base de données pour voler les informations de carte de crédit. Le tableau ps_payment_cc contient des colonnes sensibles comme id_order_payment,card_number,card_brand,card_expiration. Le code source d’un tel script est donné ci-dessous.détournement de carte de crédit prestashop

Comme le montre le code, le script utilise des requêtes SQL. Ces requêtes extraient les informations de carte de crédit de la base de données. Une autre infection malveillante bien connue est le /vendor/composer/autoload_real.php fichier. Cependant, les logiciels malveillants et les scripts ne sont pas toujours utilisés. Parfois, l’attaquant incite les utilisateurs à des attaques de phishing. Par conséquent, les utilisateurs doivent garder un œil sur les pages suspectes!

Pour en savoir plus sur le détournement de carte de crédit dans Prestashop, consultez notre blog détaillé .

Suppression de Hack Pretashop

Autres attaques

Il est parfois possible que l’ installation principale de Prestashop soit sécurisée, mais les configurations de serveur sont incorrectes. Par exemple,

Identifiants faibles

Les attaques par force brute sont assez courantes dans les magasins Prestashop. Le principal objectif de ces attaques est de révéler des informations d’identification par défaut ou faibles.

Ports ouverts 

Lors de l’installation et de la configuration du serveur, certains ports peuvent avoir été laissés ouverts. Ce sont une invitation ouverte aux pirates. Certains moteurs de recherche comme Shodan explorent Internet pour de telles erreurs de configuration. Les attaquants peuvent infecter le magasin à partir de ces ports ouverts. Il est donc conseillé de bloquer ou de filtrer les ports.

Mauvaise configuration DNS

Parfois, les serveurs DNS peuvent activer les transferts de zone. Ou souvent, certains sous-domaines peuvent être inutilisés. Les attaquants sont constamment à l’affût de ces vulnérabilités.

Modules obsolètes 

Tout en obtenant un nouveau module, assurez-vous toujours qu’il a une bonne note de la communauté. Des modules mal codés peuvent ajouter des portes dérobées au magasin. N’utilisez également que des modules réputés. De plus, si l’installation est obsolète, elle est très sujette aux attaques car les exploits sont accessibles au public.

Sécurité Prestashop violée? Envoyez-nous un message sur le widget de chat et nous serons heureux de vous aider avec votre site Web Prestashop. Sécurisez votre site Prestashop maintenant .

Meilleures pratiques de sécurité pour Prestashop

Il existe certaines méthodes pour éviter le piratage de la boutique Prestashop. Ces pratiques sont faciles mais efficaces. Cependant, la possibilité d’une attaque sur la boutique Prestashop ne peut pas être totalement évitée. Elle peut cependant être retardée en adoptant certains mécanismes. Certains d’entre eux sont:

Sécurité Prestashop: utilisez SSL

L’activation de SSL renforce considérablement la sécurité de Prestashop. Il s’agit d’un protocole standard pour garantir la sécurité des communications entre la boutique Prestashop et les utilisateurs. SSL fonctionne en utilisant la cryptographie à courbe elliptique où deux paires de clés uniques sont générées. Cela peut aider à prévenir les attaques de l’homme du milieu sur la boutique Prestashop. Pour renforcer la sécurité de Prestashop, les administrateurs peuvent acheter un certificat SSL et activer SSL sur l’installation de Prestashop.

Sécurité Prestashop: des informations d’identification solides

Assurez-vous que le mot de passe du tableau de bord administrateur est sécurisé. Évitez d’utiliser des informations d’identification par défaut ou codées en dur. De plus, certains mots de passe courants comme admin, mot de passe, qwerty, etc. ne doivent jamais être utilisés. De plus, gardez des mots de passe séparés pour FTP, cPanel, Dashboard etc. Il est de la plus haute importance pour la sécurité de Prestashop qu’un mot de passe soit très fort.

Sécurité Prestashop: fichier .htaccess

Assurez-vous qu’aucun fichier principal de la boutique Prestashop n’est visible publiquement. Interdisez également les adresses IP indésirables. Tout cela pourrait être accompli en utilisant le fichier .htaccess. De plus, ce fichier pourrait aider à forcer l’utilisation de HTTPS et empêcher certaines des attaques par injection de script. Cependant, s’il y a une difficulté à éditer le fichier, consultez un expert !

Sécurité Prestashop: Préférences

Les paramètres de préférences sur le tableau de bord peuvent ajouter plus à la sécurité PrestaShop. Les cookies peuvent aider à gérer les utilisateurs. L’utilisation d’un cookie permet de suivre facilement les utilisateurs et d’identifier les utilisateurs originaux des faux. Les cookies peuvent être activés à partir des options de préférences . De plus, les cookies peuvent aider à détecter les fausses connexions. Si le cookie ne correspond pas à l’adresse IP à laquelle il a été émis, il s’agit probablement d’un attaquant. Cependant, souvent l’IP change dynamiquement. En outre, il existe une autre fonctionnalité de sécurité Prestashop appelée Augmenter la sécurité du Front Office . Il se trouve dans l’option   Préférences> Général . Cette fonctionnalité garantit qu’une URL de session unique est attribuée à chaque utilisateur. De ce fait, l’arrêt des attaques par élévation de privilèges.

Permission sécurisée de fichier / dossier PrestaShop

Sécurité Prestashop: Modules de sécurité Prestashop

Il existe certains plugins qui peuvent aider à améliorer la sécurité de Prestashop. Ces plugins peuvent:

  • Protège le magasin des attaques connues.
  • Verrouillez l’accès au front office. Autoriser uniquement les utilisateurs autorisés.
  • Créez des clés uniques pour chaque achat.
  • Vérifiez si les commandes ont été passées par des bots.
  • Captcha ajouté pour bloquer les bots.
  • Bloquer les mauvais robots et les adresses IP indésirables.

Sécurité Prestashop: mises à jour et sauvegarde

Garder l’installation à jour est le moyen le moins cher d’améliorer la sécurité de Prestashop. Par conséquent, mettez à jour vers la dernière version stable de Prestashop. De plus, les mises à jour contiennent de nouvelles améliorations de sécurité Prestashop qui peuvent être vérifiées à partir des journaux des modifications. Assurez-vous également que votre installation dispose d’une sauvegarde. La sauvegarde permet de restaurer des fichiers en cas d’infection par un malware.

Sécurité Prestashop: Pare-feu et antivirus Prestashop

Investir dans un bon pare-feu est très utile pour sécuriser votre boutique Prestashop. Il renforce la sécurité de Prestashop et bloque les pirates. Les pare-feu surveillent tout le trafic HTTP allant vers un magasin Prestashop. Par conséquent, toute tentative d’intrusion dans la sécurité de Prestashop est facilement traitée. De plus, l’antivirus recherche tous les fichiers d’installation de Prestashop infectés. L’antivirus recherche également les backdoors dans les fichiers Prestashop. Les jours d’utilisation d’un pare-feu physique sont obsolètes. Par conséquent, de nombreuses petites ou grandes entreprises utilisent un pare-feu. Parmi les multiples solutions sur le marché aujourd’hui, Astra propose un package complet. Son pare-feu est économiquement viable et évolutif pour les petites entreprises également. Obtenez une démo maintenant!

Pare-feu fonctionne
Comment Astra Web Application Firewall vous protège sur le site WordPress

Sécurité Prestashop: Audit de sécurité Prestashop

Comme vu dans l’article, il existe plusieurs façons d’attaquer votre boutique Prestashop. De plus en plus de problèmes de sécurité Prestashop sont découverts chaque année. Alors, ne serait-ce pas génial si vous pouviez trouver des failles de sécurité Prestashop avant l’attaquant? La solution à cela est un audit de sécurité Prestashop complet et un pentesting. Il peut révéler plusieurs façons de compromettre votre boutique Prestashop. Les audits de sécurité peuvent révéler des problèmes avec le code qui pourraient conduire à OWASP Top 10. En outre, l’audit de sécurité Prestashop peut trouver des fuites d’informations sensibles sur Internet. Un audit de sécurité de routine signifie que les informations de carte de crédit de l’utilisateur restent en sécurité dans la boutique Prestashop. De plus, l’audit de sécurité comprend l’analyse des plug-ins tiers et révèle les portes dérobées.

audit de sécurité wordpress, audit de sécurité magento

Vous recherchez un logiciel d’application Web fiable pour sécuriser votre site contre les attaques Prestashop? Contactez l’  équipe de sécurité Web d’  Astra pour bénéficier d’une sécurité Web complète contre toutes les menaces en ligne possibles.

Was this post helpful?

Sai Krishna

Sai Krishna is a Product Specialist & Support Engineer at Astra. Sai had spent a few years at Amazon. Inc as a Digital Associate before starting here, and worked on a number of Machine Learning projects. He was led by his passion for Cloud Computing & Information Security to engage across several workshops and seminars while pursuing his Bachelor's. He is fond of gadgets, technology, and cybersecurity. He keeps updating himself and others by reading and writing about these regularly. Besides, he loves planting trees, meditating, and playing video games.
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

Psst! Hi there. We’re Astra.

We make security simple and hassle-free for thousands
of websites and businesses worldwide.

Our suite of security products include firewall, malware scanner and security audits to protect your site from the
evil forces on the internet, even when you sleep.

earth spiders cards bugs spiders

Made with ❤️ in USA France India Germany