PrestaShop : Résoudre les problèmes de faille de sécurité sur des modules

Publié le , par Profileo

failles de sécurité modules PrestaShop

Pouvoir maintenir la sécurité de son site e-commerce PrestaShop doit être une priorité.
En effet, comme nous vous l’indiquions dans un précédent article spécial Sécurité de votre site, la solution open source peut se trouver parfois en proie à des personnes malveillantes.
Les failles de sécurité de modules sur PrestaShop présentent plusieurs niveaux d’importance, de la plus anodine à la plus critique. Très souvent ces failles se situent dans des modules additionnels ou des outils exploités par des modules.

Ces vulnérabilités sont souvent signalées à l’éditeur du module avant que les personnes mal intentionnées puissent l’exploiter. L’éditeur du module est ensuite en charge de trouver une solution et de fournir une mise à jour.

 

Être informé d’un problème de sécurité lié à un module de votre boutique PrestaShop

Il s’agit de quelque chose de complexe qui n’est malheureusement pas facilité sur les plateformes de modules ou par les éditeurs.

Nous vous invitions à vérifier la fiche du module sur la plateforme Addons afin de prendre connaissance des notes liées à la dernière version. Si un correctif de sécurité est disponible, il sera signalé (en anglais). Par exemple :

Signalement de correctif module

Attention :

En revanche, seules les notes de la dernière version sont visibles sur la fiche du module sur Addons. Il ne vous sera alors pas possible de savoir si la version 5.2.10 (pour reprendre l’exemple ci dessus) présente un correctif de sécurité.

C’est pour cela qu’il est complexe de savoir si un module doit être mis à jour pour des raisons de sécurité. Pour ne pas prendre de risque, il est donc recommandé de garder ses modules à jour pour bénéficier des dernières corrections. Ceci a un coût étant donné que la licence des modules expire par défaut après 3 mois.

Les modules achetés sur Addons ont l’avantage de pouvoir signaler qu’une mise à jour est disponible directement sur votre BackOffice PrestaShop.

notifications de mise à jour modules PrestaShop

Cela vous permet de vérifier ce que la mise à jour inclut sur sa dernière version.

Vous n’aurez cependant pas cette notification si le module provient de votre thème ou si il a été téléchargé sur une autre plateforme.
Il convient donc de prêter une attention toute particulière à ces modules.

Conscient de ces difficultés, nous informons régulièrement nos clients en cas de découverte d’une faille de sécurité sur un module. Nos clients ayant choisi l’hébergement 772424.com ont également l’opportunité d’avoir une équipe et un monitoring alertant en cas d’intrusion sur des vulnérabilités connues.

 

Les problèmes de sécurité identifiés

L’année 2020 a été marquée par une augmentation des attaques sur PrestaShop.
De plus en plus de robots sont chargés de scanner les sites à la recherche de vulnérabilités. Si la vulnérabilité est détectée par le robot, alors une personne intervient pour l’exploiter.
Ceci rend donc l’exploitation des vulnérabilités très simple et devient réalisable par des personnes n’ayant pas forcément des connaissances techniques très poussées.
Les robots sont régulièrement mis à jour afin d’inclure la liste des modules vulnérables.

Plusieurs de ces modules ont été intensément exploités depuis plusieurs mois d’après les données que nous avons recueillies lors de nos interventions pour restaurer les sites infectés.
Entre autre, nous retrouvons fréquemment le malware XsamXadoo (bajatax_xsamado) exploitant les modules suivants en plus des failles PHPUnit :

  • Sample Data Install (sampledatainstall)
  • Smart Blog (smartblog)
  • File Explorer pro (explorerpro)
  • Colorpictures

Si vous avez un de ces modules, il convient d’agir immédiatement et de vérifier avec nous ou votre équipe technique quelles actions doivent être entreprises.

La liste ci-dessus est loin d’être exhaustive. Nous avons répertorié à ce jour une centaine de modules fréquemment exploités pour les vulnérabilités par d’autres malware. Il est souvent nécessaire de faire un scan plus complet de la boutique afin de vérifier la totalité des modules.

Les vulnérabilités sont en général toujours les mêmes. L’attaquant exploite un fichier vulnérable au sein du module permettant d’injecter un script ou un code PHP, ou bien d’exploiter une injection SQL.

Mise à jour du 30/09/2020 :

Nous avons détecté une autre vulnérabilité cette semaine. Il s’agit d’une faille présente sur le module FreePay de Oyst.
La conséquence de la vulnérabilité est le détournement des informations de paiement de vos clients. Il est donc impératif de supprimer ce module.

Résoudre les failles de sécurité sur des modules

La mise à jour du module incriminé permet de résoudre le problème de vulnérabilité, si le correctif existe !

Dans le cas où un correctif n’est pas encore disponible, la désactivation du module peut résoudre directement le problème. Cependant, certains modules, souvent anciens ou ne provenant pas de la plateforme Addons, restent exploitables même une fois désactivés.

Pour réduire le risque au maximum, la bonne pratique est de ne jamais laisser un module inutilisé sur son serveur.

D’autres vulnérabilités plus complexes nécessitent l’intervention de développeurs spécialisés.

Dans tous les cas il est vivement recommandé de vous tourner vers votre équipe technique pour vérifier quelles actions doivent être mises en place pour régler le problème.

Nos développeurs agissent quotidiennement pour répondre à des problématiques de sécurité sur les sites de nos clients.

Pack Sécurité Profileo Le Pack Sécurité permet de traiter tous types de vulnérabilité de modules PrestaShop.
Dans le cadre de ce Pack, il est question de :

  • faire une analyse de vos modules
  • détecter les potentielles failles
  • prioriser les actions à mener selon la gravité des infections
  • désinfecter votre PrestaShop

 

N’hésitez pas à nous contacter pour en savoir plus car la Sécurité de votre PrestaShop est notre spécialité.

Contactez-nous !
2+