Hacking Prestashop

Quand les pirates des Caraïbes mettent le feu à Prestashop (ép. 108)

Se faire hacker est une expérience désagréable, mais je pense que vous pouvez être plus fort que Jack Sparrow avant qu’il mette le feu à votre navire Prestashop. Franchement, ça serait dommage de couler à cause d’une bande de vilains… sortez les canons !

Quand Prestashop est hacké c’est la galère

C’est toujours pareil, on se dit que ça arrive seulement aux autres… problème quand ça vous arrive c’est l’enfer. Vous ne pouvez plus vous connecter à votre back-office, votre Prestashop ne se charge plus… Vos clients hurlent au téléphone… les paiements ne passent plus et là vous commencez à transpirer « HOT ».

En fait il est plus facile d’anticiper le hacking, plutôt que de « réparer » parce que parfois les conséquences sont lourdes (y compris tout à coup Google qui commence à voir que votre shop débloque ou lui renvoie des caractères chinois… (ooohhh non il n’aime pas ça).

La cause de Hacking n°1 sur Prestashop sont les modules

Dans le dossier « /modules » de la boutique Prestashop, vous avez les modules standard certes… mais aussi les modules achetés, ou gratuits qui sont exposés à des failles de sécurité. Plus un module est populaire (même payant), plus vos chances de vous faire hacker sont grandes.

Ce qui est important c’est surtout d’éviter d’installer trop de modules si vous n’en avez pas besoin la méthode DESAKTIVTOU pour Prestashop le démontre très bien. Désinstallez et supprimez les modules qui sont « désactivés » ou que vous n’utilisez pas, supprimez les dossiers du genre « __module » ou « archives » ou « OLD ».

Voici quelques modules Prestashop sur lesquels vous devez faire attention :

  • explorerpro / à supprimer
  • sampledatainstall / à supprimer
  • colorpictures / à mettre à jour
  • gamification / à supprimer
  • ps_facetedsearch / à mettre à jour
  • pscartabandonmentpro / à mettre à jour
  • autoupgrade / à supprimer
  • ps_checkout / à mettre à jour

Les intrusions que je vois sur Prestashop en ce moment

Beaucoup de boutiques sont infectées par « bajatax » le principe est vicieux, en gros le hacker fait uploader un fichier à module Prestashop (par la faille) et ensuite une fois que le fichier est sur l’hébergement il va modifier des processus de Prestashop.

Par exemple, il va modifier le processus de login client et back-office pour ensuite récupérer les données et les envoyer à l’extérieur (on verra ça dans la vidéo) le but c’est que le hacker puisse récupérer un maximum d’informations sur vos clients et tous vos accès (oui ça fait un peu peur dit comme ça).

Oui mais c’est quoi le but du hacker ? Il a la haine ou bien ?

Certains de mes clients m’ont dit… « C’est peut-être un ancien employé qui me fait ça… ou c’est mon concurrent ! ». Ohhh non, en fait le hacker n’en fait pas une affaire personnelle, il veut juste hacker un maximum de boutiques Prestashop.

Imaginez, si par exemple des clients s’inscrivent sur votre shop et que le hacker récupère leurs identifiants qui sont par exemple « identiques » à leur compte « PayPal » (et il y’en a)… vous imaginez ce qu’il peut se passer ? C’est super rentable pour eux de faire ça, donc ils cherchent à infecter un maximum de boutiques.

Oui c’est normal ! Les solutions e-commerce populaires sont exposées aux hackers

Ce genre d’expérience est désagréable, mais on doit se raisonner… Internet c’est un parc public, rien n’est réellement sécurisé et inviolable dans le temps c’est une réalité… Il y’a des failles parfois, ça fait partie des règles du jeu ou sinon il faudrait exclure internet de son business.

Plus une solution e-commerce est populaire, plus les hackers sont nombreux autour de celle-ci (rien qu’à voir avec WordPress). Reste encore une question faut-il informer les clients du shop si on a été infecté…

Question délicate, car il faut faire un mailing massif sur tous les clients (même ceux qui n’ont pas la double optin / risque de blacklist) + parfois ça fait vraiment peur aux clients qui risquent ensuite de vous jeter des pierres plutôt que de vous remercier (alors que vous pensiez bien faire).

Sur cette question, c’est vraiment un choix éthique… mais bien aussi peser le pour et le contre de la démarche.

Pour ce tutoriel Prestashop vous avez à disposition :

  • Des exemples de fichiers infectés

Télécharger

Résumé de la vidéo : Rivalisez contre ceux qui veulent pirater votre Prestashop

  • Pour commencer on va voir les recommandations du côté de l’hébergement (accès FTP & base de données).
  • Pensez à supprimer les anciennes installations de Pretashop, zone de dev… dossiers qui sont restés en pause.
  • Faites le grand nettoyage dans les modules gardez uniquement ce dont vous avez vraiment besoin, ne laissez pas les modules « désactivés ».
  • On va faire des recherches dans le projet Prestashop sur des chaines de caractères bien précises « sensibles » pour voir ce qu’il en sort.
  • Avec WinMerge on va aussi comparer le différentiel sur les fichiers pour voir si du code malveillant est présent.
  • Les fichiers du type « php.ini » / « user.ini » affectent le niveau de sécurité.
  • On va regarder aussi des fichiers infectés pour mieux comprendre où se trouvent les infections et comment les corriger.
  • Quand vous avez terminé, pensez à faire un check avec le script Prestashop XsamXadoo et le module gratuit Prestashop PHPUNIT.
  • Les accès au back-office Prestashop, c’est ce que vous devez changer en dernier.

8 commentaires sur “Quand les pirates des Caraïbes mettent le feu à Prestashop (ép. 108)”

  1. Après changement des mots de passe j’ai une erreur 500, ma boutique est inaccessible et on est vendredi soir, le service client OVH ne sera disponible que lundi.. je suis deg. Je vais perdre toutes les ventes de ce week end et plus encore..

  2. N y a t il pas un risque de déplacer le fichier « parameters.php » sur notre machine local ? j’ai pu voir que mon mot de passe est en clair dans ce fichier, ça me parait hyper dangereux d’ouvrir ce fichier, si jamais y a un trojan qui prend des captures d’écran sur la machine locale..
    Comment encrypté le mot de passe présent dans ce fichier svp ?
    Cordialement (et merci pour ce tuto)

    1. Bonjour,

      Concernant ce fichier il n’y a pas de risque à l’ouvrir, le mot de passe de la base de données Prestashop est obligatoire d’être en clair. Avoir ce mot de passe est inutile pour un Trojan tant qu’il n’a pas les accès FTP du serveur.

      A bientôt !

  3. Hello Germain,

    pour tester les dernière MAJ des modules – Thème et même de Presta qui corrige des failles de sécurité comment tu fais ? Notamment au niveau de la gestion de tes environnement de DEV/PROD. Perso j’ai que le presta en PROD et j’ai deja eu des soucis avec un update du theme ou tout le site était cassé.

    Je me demandé comment tu faisait pour gérer ce cas. Site web dupliqué mais non référencer ? Site dupliquer en local ? Gestion avec un GIT ?

    Merci de ta réponse.

    1. Hello,

      De mon côté je fais rarement des mises à jour de Prestashop, je patche seulement quand c’est « grave » et encore (tout dépend du site e-commerce / du client).

      En standard j’ai une version de la boutique Prestashop en local versionné avec GIT et la production qui est en ligne.

      Bien sûr on pourrait envisager beaucoup mieux, mais il faut aussi l’organisation et le budget qui vont avec.

      A bientôt !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *