PrestaShop : Résoudre les problèmes de faille de sécurité sur des modules
Edit – Pour en savoir plus sur les risques, les tendances et, surtout, les solutions à mettre en place pour sécuriser votre activité e-commerce en 2022, découvrez toutes les informations utiles dans notre article « Comment lutter contre les vulnérabilités des modules ?«
Pouvoir maintenir la sécurité de son site e-commerce PrestaShop doit être une priorité.
En effet, comme nous vous l’indiquions dans un précédent article spécial Sécurité de votre site, la solution open source peut se trouver parfois en proie à des personnes malveillantes.
Les failles de sécurité de modules sur PrestaShop présentent plusieurs niveaux d’importance, de la plus anodine à la plus critique. Très souvent ces failles se situent dans des modules additionnels ou des outils exploités par des modules.
Ces vulnérabilités sont souvent signalées à l’éditeur du module avant que les personnes mal intentionnées puissent l’exploiter. L’éditeur du module est ensuite en charge de trouver une solution et de fournir une mise à jour.
Être informé d’un problème de sécurité lié à un module de votre boutique PrestaShop
Il s’agit de quelque chose de complexe qui n’est malheureusement pas facilité sur les plateformes de modules ou par les éditeurs.
Nous vous invitions à vérifier la fiche du module sur la plateforme Addons afin de prendre connaissance des notes liées à la dernière version. Si un correctif de sécurité est disponible, il sera signalé (en anglais). Par exemple :
Attention :
En revanche, seules les notes de la dernière version sont visibles sur la fiche du module sur Addons. Il ne vous sera alors pas possible de savoir si la version 5.2.10 (pour reprendre l’exemple ci dessus) présente un correctif de sécurité.
C’est pour cela qu’il est complexe de savoir si un module doit être mis à jour pour des raisons de sécurité. Pour ne pas prendre de risque, il est donc recommandé de garder ses modules à jour pour bénéficier des dernières corrections. Ceci a un coût étant donné que la licence des modules expire par défaut après 3 mois.
Les modules achetés sur Addons ont l’avantage de pouvoir signaler qu’une mise à jour est disponible directement sur votre BackOffice PrestaShop.
Cela vous permet de vérifier ce que la mise à jour inclut sur sa dernière version.
Vous n’aurez cependant pas cette notification si le module provient de votre thème ou si il a été téléchargé sur une autre plateforme.
Il convient donc de prêter une attention toute particulière à ces modules.
Conscient de ces difficultés, nous informons régulièrement nos clients en cas de découverte d’une faille de sécurité sur un module. Nos clients ayant choisi l’hébergement 772424.com ont également l’opportunité d’avoir une équipe et un monitoring alertant en cas d’intrusion sur des vulnérabilités connues.
Les problèmes de sécurité identifiés
L’année 2020 a été marquée par une augmentation des attaques sur PrestaShop.
De plus en plus de robots sont chargés de scanner les sites à la recherche de vulnérabilités. Si la vulnérabilité est détectée par le robot, alors une personne intervient pour l’exploiter.
Ceci rend donc l’exploitation des vulnérabilités très simple et devient réalisable par des personnes n’ayant pas forcément des connaissances techniques très poussées.
Les robots sont régulièrement mis à jour afin d’inclure la liste des modules vulnérables.
Plusieurs de ces modules ont été intensément exploités depuis plusieurs mois d’après les données que nous avons recueillies lors de nos interventions pour restaurer les sites infectés.
Entre autre, nous retrouvons fréquemment le malware XsamXadoo (bajatax_xsamado) exploitant les modules suivants en plus des failles PHPUnit :
- Sample Data Install (sampledatainstall)
- Smart Blog (smartblog)
- File Explorer pro (explorerpro)
- Colorpictures
Si vous avez un de ces modules, il convient d’agir immédiatement et de vérifier avec nous ou votre équipe technique quelles actions doivent être entreprises.
La liste ci-dessus est loin d’être exhaustive. Nous avons répertorié à ce jour une centaine de modules fréquemment exploités pour les vulnérabilités par d’autres malware. Il est souvent nécessaire de faire un scan plus complet de la boutique afin de vérifier la totalité des modules.
Les vulnérabilités sont en général toujours les mêmes. L’attaquant exploite un fichier vulnérable au sein du module permettant d’injecter un script ou un code PHP, ou bien d’exploiter une injection SQL.
Mise à jour du 30/09/2020 :
Nous avons détecté une autre vulnérabilité cette semaine. Il s’agit d’une faille présente sur le module FreePay de Oyst. |
Mise à jour du 22/01/2021 :
Une nouvelle vulnérabilité a été détectée par nos équipes. La faille est présente sur le module Relance de Paniers Abandonnés Pro – cartabandonmentpro de la version 1.4 à 1.7 (incluse). |
Résoudre les failles de sécurité sur des modules
La mise à jour du module incriminé permet de résoudre le problème de vulnérabilité, si le correctif existe !
Dans le cas où un correctif n’est pas encore disponible, la désactivation du module peut résoudre directement le problème. Cependant, certains modules, souvent anciens ou ne provenant pas de la plateforme Addons, restent exploitables même une fois désactivés.
Pour réduire le risque au maximum, la bonne pratique est de ne jamais laisser un module inutilisé sur son serveur.
D’autres vulnérabilités plus complexes nécessitent l’intervention de développeurs spécialisés.
Dans tous les cas, il est vivement recommandé de vous tourner vers votre équipe technique pour vérifier quelles actions doivent être mises en place pour régler le problème.
Nos développeurs agissent quotidiennement pour répondre à des problématiques de sécurité sur les sites de nos clients.
Le Pack Sécurité permet de traiter tous types de vulnérabilité de modules PrestaShop. Dans le cadre de ce Pack, il est question de :
|
N’hésitez pas à nous contacter pour en savoir plus car la Sécurité de votre PrestaShop est notre spécialité.