🔴 French Days : ventes flash jusqu'à - 50% 🔴 French Days 2022 : ventes flash jusqu'à - 50%

Procédure de sécurité requise pour les boutiques Prestashop

25 août 2011 à 10h30
0
Prestashop, éditeur d'un logiciel e-commerce open source et gratuit, a prévenu mardi soir les utilisateurs de sa solution qu'une intrusion, susceptible de compromettre la sécurité des boutiques faisant appel à sa solution, avait été constatée sur ses serveurs. Les commerçants sont invités à suivre une procédure de sécurité.

00A0000004528408-photo-logo-prestashop.jpg
« Le site officiel prestashop.com a été victime d'une infraction électronique entrainant le détournement d'un script de mise à jour d'actualité, visible depuis le back office des boutiques PrestaShop », a indiqué mardi soir par e-mail l'équipe en charge du développement de ce logiciel e-commerce utilisé aujourd'hui par plus de 80 000 boutiques. Les victimes devraient notamment voir apparaître dans les fichiers constitutifs de leur boutique un fichier her.php, placé à la racine du répertoire /modules. L'un des scripts propagé par ce biais servirait notamment à extraire et envoyer vers une adresse tierce les accès administrateurs de la boutique.

L'attaque a été propagée par le biais du script qui gère l'affichage des dernières actualités liées au logiciel sur la page d'accueil de l'administration de ce dernier. D'après Prestashop, les attaquants ont réussi, après intrusion sur son site Web, à modifier le script d'émission de façon à ce que celui-ci n'envoie pas simplement des informations, mais aussi des fichiers malveillants. Les administrateurs de boutique se connectant à l'accueil de leur interface d'administration étaient alors susceptibles de recevoir lesdits fichiers.

Détectée lundi en début de soirée, la faille a été corrigée en moins de 24 heures. Les potentielles victimes sont toutefois invitées à suivre une procédure visant à rétablir l'intégrité de leur boutique, dont le détail est reproduit ci-dessous. De plus amples informations sont disponibles via les forums de Prestashop, où certains s'interrogent sur la pertinence de maintenir des scripts faisant appel à des serveurs externes dans une optique de sécurité.

Prestashop, qui revendique une communauté de plus de 260 000 membres, prépare actuellement la version 1.5 de son logiciel, dont les nouveautés seront présentées lors du salon E-Commerce Paris.

Prestashop : procédure de sécurité

Le site officiel prestashop.com a été victime d'une infraction électronique entrainant le détournement d'un script de mise à jour d'actualité, visible depuis le back office des boutiques PrestaShop.

L'équipe PrestaShop a mis tout en œuvre pour identifier et corriger rapidement le problème, un correctif est dès à présent disponible.


Comment savoir si je suis concerné ?

Seuls les utilisateurs de la version 1.4 /1.4.1/ 1.4.2/1.4.3/1.4.4 sont concernés, mais pas forcément touchés.

Si vous utilisez une de ces versions, vérifiez si:

un fichier "her.php" se trouve à la racine de votre répertoire /modules
des fichiers ".php" autres que "index.php" se trouvent dans les répertoires /upload et /download
le fichier footer.tpl de votre thème ait été modifié
le répertoire tools/smartyv2 a disparu


Si vous êtes dans au moins un de ces cas, votre boutique est affectée, mais vous pouvez très simplement corriger le problème, en suivant la procédure ci-dessous.


Que dois-je faire ?

1.Changez le mot de passe de votre base de données ou contactez votre hébergeur si vous ne savez pas comment procéder. Une fois le changement de mot de passe effectué, ouvrez le fichier settings.inc.php du dossier /config et remplacez votre ancien mot de passe par le nouveau. Voir ci-dessous.
2.Téléchargez ensuite le correctif élaboré par PrestaShop en cliquant ici
3.Placez-le à la racine de votre boutique avec votre client FTP (Filezilla, Transmit...)
4.Rendez-vous à l'adresse http://www.maboutique.com/herfix.php
5.Le correctif est maintenant appliqué, n'oubliez pas de supprimer le fichier herfix.php précédemment chargé à la racine de votre boutique
6.Renommez votre répertoire admin
7.Changez le mot de passe de tous vos administrateurs back office
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

OmniVision : record de densité avec un capteur CMOS rétroéclairé d'1/4 de pouce
AMD A55 : premières cartes mères d'entrée de gamme
Sony Handycam NEX-VG20 : nouveau capteur et écran tactile
Panasonic FX90 et FZ150 : compact Wi-Fi et bridge superzoom
Groupon.fr s'attire les foudres des médecins en bradant des prothèses mammaires
Alimentation de 850 W pour le multi-GPU chez Corsair
De Facebook... à Sexebook, réseau social coquin ?
Test Internet Explorer 8 : le dernier IE avant la refonte
Test Internet Explorer 9 : un navigateur en net progrès
Test de Mozilla Firefox 4.0 : de retour au top ?
Haut de page