16 Fév 2024
Les failles de sécurité sur Prestashop

Les failles de sécurités Prestashop, faut-il s’en inquiéter ?

16/02/2024 : J’ai mis à jour mon article de 2020 avec des nouvelles solutions et des nouvelles informations

Dans cet article je vous parle des différentes grosses failles de sécurité qui ont été découvertes sur le cms Prestashop. Je vous donne le lien vers les détails exposés par la solution ainsi que les correctifs qu’ils proposent.

Prestashop est-il un cms sécurisé ?

Il est vrai que la lecture des différentes failles de sécurité peut être alarmante. Cependant, il est important de comprendre que tous les CMS, ainsi que les logiciels en général, sont régulièrement mis à jour. Ces mises à jour servent non seulement à introduire de nouvelles fonctionnalités, mais aussi à renforcer la sécurité en ajoutant des mesures de protection supplémentaires.

Tous les CMS sont régulièrement touchés :
Cyber-sécurité : 87% des sites sous Magento seraient « à risque »
Shopify présente une faille de sécurité importante
WordPress plus exposé aux failles de sécurité?

Toutes les solutions peuvent être affectées, y compris votre système d’exploitation (Windows, Mac OS, etc.). Cela s’applique à de nombreux domaines, mais la question importante est : Combien de boutiques Prestashop sont touchées ?

Si vous êtes un utilisateur actuel ou futur de ce CMS e-commerce, vous ne le remarquez peut-être pas, mais la communauté est très active. Elle intervient régulièrement auprès de Prestashop pour signaler des bugs, des failles, suggérer des améliorations, etc. Tout comme pour WordPress, cette communauté est d’une grande importance, tant en France que dans le monde entier, contribuant ainsi à l’évolution de ce logiciel open source.

Utilisez Prestascan pour vérifier la sécurité de votre Prestashop

PrestaScan procède à une analyse rapide de votre site PrestaShop.

Ce module est gratuit ! Et pour cela je tiens à remercier Profileo et Friends of Presta pour la mise à disposition d’un outil pour la communauté Prestashop. Ils proposent aussi des serveurs dédiés via 772424.

Explorez votre score et recevez des informations détaillées concernant les opportunités d’amélioration de la performance et de la sécurité de votre boutique en ligne.

L’utilisation de PrestaScan est entièrement gratuite et les résultats sont fournis immédiatement.

PrestaScan pour scanner votre boutique Prestashop

Voici un exemple tiré d’un des sites de mes clients, présenté ci-dessous. Dans la section d’analyse des modules, les problèmes de vulnérabilité connus sont listés. En général, vous y trouverez un détail de la problématique accompagné d’un lien direct vers la solution sur https://security.friendsofpresta.org.

L’outil indique également les mises à jour nécessaires pour vos modules.

De plus, vous disposez d’onglets dédiés à l’analyse de vos fichiers et aux vulnérabilités du noyau de votre PrestaShop.

Résultat d'un scan Prestashop avec le module PrestaScan

Juillet 2022, découverte d’une vulnérabilité des sites Prestashop

Le 22 juillet 2022, le cms annonce qu’une faille de sécurité importante a été découverte. Cela permettrait aux attaquants de prendre le contrôle de votre boutique.

Par ce biais, ils peuvent alors exploiter vos données clients, paiement etc. Ils fonctionnent avec 3 étapes :

  1. Le pirate déclenche une requête POST à l’endroit vulnérable à l’injection SQL.
  2. De suite après, l’attaquant soumet une requête GET sur votre page d’accueil. Cela permet la création d’un fichier PHP qui s’appel blm.php à la racine de votre serveur.
  3. Il peut lancer des requêtes GET au nouveau fichier blm.php, lui permettant d’exécuter des actions.

Vous avez le détail de l’article ici : https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/

Quelles versions du cms concernée par les attaques en 2022 ?

Toutes les boutiques entre la version 1.6.1.0 et 1.7.8.1 possèdent la potentielle faille.

Si votre boutique Prestashop est de version 1.7.8.2 ou plus, vous n’avez pas de correctif à appliquer.

Attention avant de vous lancer dans une mise à jour de votre site, prévoyez de faire cela en amont sur un serveur de développement ou bien faîtes appel à un développeur Prestashop.

Pour savoir si vous avez été attaqués, vous devez consulter les logs de votre site et de chercher cela :

- [14/Jul/2022:16:20:56 +0200] "POST /modules/XXX/XXX.php HTTP/1.1" 200 82772 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14"

- [14/Jul/2022:16:20:57 +0200] "GET / HTTP/1.1" 200 63011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.98 Safari/537.36"

- [14/Jul/2022:16:20:58 +0200] "POST /blm.php HTTP/1.1" 200 82696 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0"

Votre agence ou freelance peut vous aider mais aussi votre hébergeur web.

Comment corriger et éviter la création d’un fichier blm.php sur Prestashop ?

Dans sont article, l’équipe nous préconise de supprimer 2 lignes dans le fichier config/smarty.config.inc.php.

Personnellement, étant une méthode temporaire, je préconise de juste les commenter ou bien de faire une sauvegarde de ce fichier avant.

Vous devez donc retirer les lignes 43 à 46 sur PrestaShop 1.7 et 40 à 43 sur PrestaShop 1.6 :

if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
$smarty->caching_type = 'mysql';
}

Dans les discussions sur slack, twitter… J’ai vu que certains avait mit en place une règle de redirection dans le fichier htaccess pour le fichier blm.php. C’est pour prévoir son apparition.

Cette partie de l’article sera mit à jour si de nouvelles instructions sont transmises par l’équipe support de Prestashop.

Faille de sécurité sur les données clients Prestashop en Janvier 2020

Début Janvier une faille de sécurité avec était détectée dans le CMS concernant phpunit, ce qui provoqua une panique chez les e-commerçants.

J’en parle dans mon article blog avec le correctif à mettre en place pour corriger le problème.

faille sécurité prestashop phpunit

Mars 2020, la sortie de Prestashop 1.7.6.4 intègre un nouveau correctif d’une faille qui pouvait mettre en danger les données de vos clients.

Si vous avez donc une version supérieure à celle-là, cette correction est appliquée.

En 2024, faut-il mettre à jour vers Prestashop 8 ?

Prestashop 8
La réponse est affirmative ! Au vu du nombre de corrections apportées, il est conseillé de passer à cette version, mais seulement si cela est possible. Prestashop 8 est une version améliorée de la 1.7, qui corrige de nombreux problèmes, notamment en matière de sécurité.

Veillez à la compatibilité de vos modules, thèmes et contenu graphique. Avant toute mise à jour, effectuez-la sur un serveur de développement et réalisez des sauvegardes de votre site internet ! Vérifiez également que vos modules soient compatibles avec la version 8.

Utilisez des modules de sécurité sur Prestashop

Pour débuter, il est primordial de veiller à ce que votre boutique en ligne soit sur un hébergement à la fois sécurisée et dotée des ressources nécessaires. Concernant l’hébergement mutualisé, O2switch est une bonne option. Si vous préférez opter pour un serveur dédié, 772424, qui se spécialise dans l’hébergement de sites Prestashop, pourrait répondre à vos besoins.

Voici deux modules efficaces pour bloquer les malwares, spams et les piratages au mieux :

Vous avez besoin d’un Prestataire pour vérifier une faille ?

– Connexion à votre serveur
– Recherche de la faille et application du correctif Prestashop
– Récapitulatif / conseils par mail

Commandez un ticket de SAV Prestashop sur ma boutique pour que une intervention sur votre site.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *