Mon site PrestaShop a été piraté ! Que faire ?

Publié le , par Xavier Bonnaud

Nos solutions et conseils d’experts

La sécurité des sites e-commerce est une préoccupation majeure pour les propriétaires de sites. Votre site PrestaShop est déjà infecté ? Il vous faut intervenir au plus vite.
Si vous n’êtes pas sûr d’avoir été victime d’une attaque, il est essentiel de tout mettre en œuvre pour éviter que cela se produise.
Dans tous les cas, la meilleure protection contre la cybercriminalité est la prévention.

Les chiffres de la cybercriminalité sont en hausse :

Le rapport de la Fevad de 2021 indique que 44 % des détaillants dans le monde ont été victimes d’une attaque de ransomware l’année précédente. (Source: Sophos Ransomware Retail, 2021)

Une autre étude menée par EY a revelé par ailleurs qu’à travers le monde un pourcentage élevé d’entreprises (82 %) ont signalé une augmentation des attaques qualifiées de déstabilisatrices.

(Source: Bilan préoccupant de l’enquête mondiale réalisée par EY auprès de 1400 responsables de la sécurité des systèmes d’information (RSSI) et cadres de la cybersécurité entre mars et mai 2021)

Plus généralement, les CMS à base de modules additionnels (WordPress/WooCommerce, PrestaShop, Magento…) sont particulièrement exposés à des failles potentielles de sécurité, du fait de la pluralité des éditeurs réalisant ces extensions. La manière de les coder dépend des connaissances de chaque développeur (éditeur) en matière de bonnes pratiques de sécurité.

Par conséquent, évaluer régulièrement le niveau de sécurité de votre boutique PrestaShop est essentiel pour assurer la confiance et la sécurité des acheteurs en ligne, ainsi que pour protéger la réputation et la pérennité de votre entreprise.

C’est pour répondre à ces enjeux que notre équipe a élaboré un Pack Sécurité spécialement conçu pour permettre à nos clients de s’assurer de la protection de leur site PrestaShop.
En pratique, pour la mise en place de ce Pack, nous effectuons une analyse approfondie des modules et du cœur de votre PrestaShop afin d’identifier les failles potentielles. En cas d’infection, nous investiguons afin d’évaluer la source et la criticité de l’infection. Ensuite, nous procédons au déploiement de correctifs pour garantir la sécurité des données du site et de ses clients.
Pour vous aider à vérifier et maintenir la sécurité de votre site PrestaShop, on vous détaille ci-après les différentes étapes à suivre (ce sont les mêmes que nous mettons en place dans le cadre de notre Pack Sécurité) :

VOTRE SITE EST INFECTÉ :
Étape 1 : Qualification de l’attaque
Étape 2 : Analyse de l’attaque
Étape 3 : Déploiement des mesures

VOTRE SITE N’EST PAS INFECTÉ :
Étape 4 : Analyse des modules
Étape 5 : Scan des fichiers cœurs modifiés
Étape 6 : Analyse des vulnérabilités du cœur de PrestaShop
Étape 7 : Scan des fichiers / répertoires non standards
Étape 8 : Sécurité de votre back-office
Étape 9 : Google Search Console, sitemaps et robots.txt

VOTRE SITE PRESTASHOP EST INFECTÉ :

Étape 1 : Qualification de l’attaque

En cas de suspicion de piratage, il est important de déterminer s’il s’agit réellement d’une attaque. Pour ce faire, il existe plusieurs indicateurs à prendre en compte.
Par exemple :

  • des méthodes de paiement inhabituelles ont été utilisées récemment
  • un accès non autorisé a été détecté dans les logs d’accès du back-office
  • un message de l’attaquant est directement visible (une signature)

Après cette étape, il est recommandé de prendre quelques mesures pour protéger le site :

  1. effectuer une sauvegarde du site pour éviter toute perte de données ou de fichiers importants.
  2. mettre le site en mode maintenance
  3. bloquer l’accès au back-office pour empêcher tout accès non autorisé pendant la prochaine étape.

Ces précautions permettront de réduire les risques de nouvelles attaques ou de pertes de données pendant le processus de résolution du problème.

Étape 2 : Analyse de l’attaque

Une analyse initiale est nécessaire pour comprendre l’ampleur de l’attaque et évaluer le niveau de criticité.
Cette analyse se compose de plusieurs actions :

    • Tout d’abord, il convient de vérifier s’il y a une infection visible ou des fichiers modifiés. Si c’est le cas, l’analyse sera orientée sur une infection impactant le front office.
    • Ensuite, un scan complet des fichiers de la boutique est nécessaire pour détecter les menaces connues, ce qui permettra de préparer des correctifs et de déterminer plus facilement le point d’entrée.
    • En outre, il est crucial de vérifier les fichiers modifiés et ajoutés en comparant les dates avec une sauvegarde. Les modifications seront évaluées pour déterminer s’il s’agit de changements légitimes ou de traces d’une infection.
    • Enfin, l’analyse des logs d’accès Apache et d’erreur PHP doit être effectuée pour rechercher d’éventuelles traces d’accès aux heures de modification des fichiers. L’objectif sera d’isoler des adresses IP ou user agents ayant accédé aux webshell ou aux fichiers modifiés depuis http. Il sera également nécessaire d’analyser les accès serveur et FTP par mesure de précaution.

Étape 3 : Déploiement des mesures

Une fois l’attaque identifiée et analysée, il est crucial de déployer rapidement des mesures pour éviter tout dommage supplémentaire :

      • Bloquer l’attaquant (blocage de plages d’IP par exemple).
      • Désinfecter les fichiers infectés, pour éviter toute réinfection.
      • Supprimer le ou les points d’entrés détectés (exemple : un module vulnérable qui aurait été exploité).
      • Restaurer une sauvegarde – UNIQUEMENT si la source de l’attaque a été identifiée et peut être corrigée.
      • Modifier l’ensemble des accès : FTP, back-office (pour l’ensemble des employés), bases de données.
Si vous avez des doutes sur la nature de l’infection, il est recommandé de poursuivre les analyses jusqu’à ce que l’attaque soit qualifiée ou jusqu’à ce que tous les doutes soient écartés. Cela peut impliquer de rechercher des preuves supplémentaires et de solliciter l’aide d’experts en sécurité informatique pour confirmer ou infirmer vos soupçons. Il est essentiel de traiter les incidents de sécurité avec la plus grande attention pour protéger votre entreprise et vos clients.

 

VOTRE SITE N’EST PAS INFECTÉ (ou l’attaque n’est pas encore qualifiée):

Étape 4 : Analyse des modules

Les modules sur un site PrestaShop peuvent constituer des points d’entrée pour des attaques. Ces points d’entrée peuvent prendre la forme d’une injection de codes malveillants ou d’exploitations de vulnérabilités SQL. Pour assurer la sécurité de votre site, il est important d’examiner tous les modules présents et de comparer leurs versions avec celles connues pour des vulnérabilités publiques. Même si un module est désactivé ou non installé, il peut encore être vulnérable, donc il est essentiel d’analyser tous les modules présents sur le serveur. Des vérifications supplémentaires ou une mise à jour peuvent être nécessaires pour maintenir un bon niveau de sécurité.

Pour vous aider à effectuer une analyse complète, Profileo a développé le module Prestascan Security. L’installation est simple : il suffit de l’ajouter à votre tableau de bord et de créer un compte pour lancer un scan.Une fois en place, Prestascan Security énumère tous vos modules et évalue leur état de vulnérabilité ou les mises à jour nécessaires. Vous pouvez ainsi identifier rapidement les modules qui nécessitent une attention particulière et prendre des mesures pour renforcer la sécurité de votre site.
Téléchargez Prestascan Security

Étape 5 : Scan des fichiers cœurs modifiés

Cette analyse permet de vérifier si des fichiers natifs de PrestaShop ont été modifiés. L’objectif est de vérifier si des malwares ont infecté les fichiers cœurs. À noter qu’il peut également y avoir des modifications de fichiers effectuées par des développeurs. Celles-ci ne présentent pas de risque de sécurité particulier. Cependant, il n’est pas conseillé de modifier directement les fichiers natifs.

Étape 6 : Analyse des vulnérabilités du cœur de PrestaShop

Si vous êtes sur une des versions les plus récentes de PrestaShop, le nombre de vulnérabilités présentes dans le cœur de PrestaShop est réduit. De façon générale, il est recommandé d’utiliser la version la plus récente du logiciel. Cependant, si la version que vous utilisez est ancienne (1.6 ou inférieure), il est d’autant plus important de procéder à l’analyse du cœur de PrestaShop. Les versions les moins récentes sont celles qui présentent le plus de failles.

Étape 7 : Scan des fichiers / répertoires

Il est essentiel d’examiner ensuite tous les fichiers et répertoires qui ont été ajoutés au site, qu’ils soient à la racine ou non, afin de détecter ceux qui peuvent représenter une menace. En pratique, nous utilisons des mots-clés suspects pour identifier toute infection ou vulnérabilité. Ce processus est méthodique mais peut être très complexe à mettre en place en fonction de la quantité de fichiers à examiner. Outre les vulnérabilités connues, certains fichiers peuvent être accessibles au public, ce qui peut entraîner la fuite d’informations sensibles. Par conséquent, il est important de protéger l’intégrité de toutes les données. La portée de cette analyse englobe une vaste gamme de risques potentiels.

Étape 8 : Sécurité de votre back-office

L’un des éléments de sécurité fondamentaux d’un site est la sécurité du back-office. Celle-ci peut être vérifiée en examinant l’URL d’accès. Si l’URL de votre tableau de bord est facilement identifiable, comme http://www.votrenomdedomaine.com/backoffice/, cela peut être détecté par des personnes malveillantes. Il est préférable d’utiliser un accès HTTPS sécurisé et de renommer le répertoire du back-office pour le personnaliser intégralement. Ce peut être par exemple httpS://www.votrenomdedomaine.com/BO-admin4Qx66Nd/.

Un autre aspect important de la sécurité de votre back-office concerne les personnes qui y ont accès. Nous recommandons vivement de changer régulièrement les mots de passe des comptes des employés et d’utiliser des codes robustes et uniques. Vous pouvez générer des mots de passe sécurisés ici : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide
En outre, il est important de désactiver ou de supprimer les comptes des employés qui ne sont plus utilisés.
Un moyen rapide et efficace d’assurer la sécurité du back-office est la mise en place de la l’authentification à 2 facteurs (2FA).

Étape 9 : Google Search Console, sitemaps et robots.txt

La vérification des fichiers sitemaps et robots.txt est une étape courante pour assurer la sécurité de votre site web.Votre console Google Search permet d’effectuer une analyse plus approfondie à ce niveau et de détecter, via la sous-rubrique « Problèmes de sécurité », les éventuels problèmes de sécurité sur votre site web. Google vous avertira si votre site a été piraté et présente une menace pour la sécurité de vos visiteurs.

 

Les chiffres clés Profileo

Profileo assure la maintenance et la sécurité des boutiques PrestaShop.
À ce jour, sur l’ensemble des Pack Sécurité mis en place*, nous avons pu constater que :
72 % des sites sont infectés au moment de la souscription au Pack Sécurité.
48 % des infections ont pour source l’exploitation d’une faille de module.
55 % des sites infectés sont sur une ancienne version de PrestaShop (1.6 et antérieures).
56 % des attaques visent un détournement des moyens de paiements.

* étude faite sur un panel des 25 derniers sites PrestaShop pris en charge par nos équipes au 31/03/2023.

Retrouvez tous nos conseils et actualités qui touchent à la sécurité de votre site PrestaShop dans notre article dédié aux problèmes de faille de sécurité des modules.

Vous avez un doute concernant la sécurité de votre boutique ?

Vous voulez vous assurer que vos modules sont bien à jour ?

Notre équipe d’experts PrestaShop s’occupe de tout. Optez pour le Pack Sécurité PrestaShop ou contactez-nous directement si vous souhaitez être accompagné sur un point de sécurité précis.

Contactez-nous !