09 Giu Prestashop è sicuro?
Prestashop è una piattaforma di e-commerce open-source che consente agli utenti di creare e gestire facilmente un negozio online. È stata sviluppata in PHP e utilizza un database MySQL per la gestione dei dati. Offre una vasta gamma di funzionalità per la creazione di negozi online professionali, compresi strumenti di gestione del catalogo, gestione degli ordini, pagamento, spedizione, reporting e molto altro. È altamente personalizzabile e offre numerosi temi e moduli aggiuntivi che consentono agli utenti di adattare il proprio negozio alle proprie esigenze specifiche.
Ma il mio Prestashop è sicuro?
Di base si, ma con alcune considerazioni. La sicurezza è un aspetto fondamentale per qualsiasi piattaforma di e-commerce, compreso PrestaShop. Poiché si tratta di un sistema open-source, è importante adottare le giuste precauzioni per proteggere il tuo negozio online e i dati dei clienti. Il team di PrestaShop prende sul serio la sicurezza e lavora costantemente per rilasciare aggiornamenti e patch di sicurezza per affrontare le vulnerabilità scoperte. La community di sviluppatori, contribuisce ad identificare e risolvere problemi di sicurezza.
Ho un Prestashop di qualche anno fa. Rischio?
Sfortunatamente, è molto probabile che PrestaShop sia vulnerabile a intrusioni non autorizzate. La natura modulare di PrestaShop, che consente l’estensione delle funzionalità tramite moduli e la personalizzazione grafica con l’uso di temi di terze parti, apre la strada a scenari comuni di vulnerabilità. Di solito, identifichiamo tre scenari frequenti in caso di intrusioni non autorizzate:
1. Piattaforma installata dal cliente, con un tema scaricato e configurato dal cliente
2. Piattaforma intallata e configurata da un professionista, ma senza accordi su un aggiornamento costante.
3. Bug in uno dei moduli installati dal cliente, oppure presente nei moduli base del tema.
Questa situazione può portare a conseguenze disastrose, tra cui la potenziale perdita di dati sensibili o, ancora peggio, l’installazione di meccanismi progettati per rubare le informazioni delle carte di credito dei clienti.
Come mi accorgo se il mio ecommerce è compromesso?
Bisogna agire preventivamente, quando ci si accorge di qualche malfunzionamento è troppo tardi. La prima operazione che potreste fare è controllare periodicamente la lista dei files cambiati. Questo vi permetterà di capire se il sito è stato già compromesso.
Un esempio concreto
Piattaforma Prestashop 1.7.6.3, tema progettato da terzi con dei moduli extra necessari al suo funzionamento.
Improvvisamente, ci si accorge che nella pagina del checkout appare un form di carte di credito anomalo. Questo form si attiva nella pagina dei pagamenti, rimanendo sempre presente. Sostituisce tutta la sezione dedicata alla scelta del metodo di pagamento, il cliente se vuole acquistare deve compilare i dati in quel form.
Dopo la prima compilazione il form scompare, ed il sito torna a funzionare regolarmente… Ovviamente i dati inseriti sono stati impacchettati ed inviati chissà dove.
Come è stato possibile?
Devi sapere che giornalmente ogni sito web viene scansionato da “programmi”, alla ricerca di vulnerabilità note. Potrai trovare nei log tracce di scansioni dedicate a siti wordpress, Magento e così via. Ma non sono alla ricerca solo di vulnerabilità delle piattaforme, piuttosto si concentrano sulla vulnerabilità di moduli presenti sul sito. Ed è da qua che si parte.
Si perchè questo ecommerce, come scritto poco sopra, aveva un tema acquistato online con dei suoi moduli predefiniti. Due di questi in particolare, sono noti per essere stati scritti in modo poco attento e vulnerabili alle tecniche di “Sql Injection”. Per farla breve, con pochi comandi un malintenzionato è stato in grado di modificare il database dell’ecommerce.
L’attaccante ha poi sfruttato una falla di Prestashop, presente nelle vecchi versioni, la quale ha permesso di scrivere 1 file PHP e prendere il controllo remoto del sito riuscendo a:
1. Fare l’upload di uno script javascript offuscato in un’immagine PNG dentro la cartella /img
2. Modificare i file di sistema Controller.php e FrontController.php in modo da pubblicare il famoso form delle carte fake
3. Attivare da remoto i WebService, in modo da dare accesso all’esterno dei dati sugli ordini
Come rimediare al disastro?
Come detto prima, devi affidarti ad un esperto. Il sito va disattivato, scaricato e controllato. Si devono controllare tutti i log storici, alla ricerca di come è stato possibile l’attacco. Nel nostro caso, è stato utilizzato un modulo che ha permesso la creazione di un file b2b.php, apparso nel giro di qualche istante.
A questo punto, la procedura è lunga e si compone da:
1. Pulizia del sito e ripristino dei sorgenti originali
2. Aggiornamento di Prestashop all’ultima versione (se possibile). Diversamente applicare una patch manuale alle vecchie versioni
3. Controllo per eventuali file PHP aggiuntivi (nel nostro caso era presente un file aggiuntivo, anche in una cartella delle traduzioni)
4. Messa online e monitoraggio per almeno 30 giorni, meglio se con script che controllino l’integrità dei file.
5. Correzione del modulo con il BUG
Come prevenire questi attacchi?
Proteggere un negozio PrestaShop da attacchi informatici può essere un compito complesso, poiché la sicurezza dipende da diversi fattori. Spesso, gli attacchi sono il risultato di una combinazione di fattori sfortunati, come l’individuazione del negozio da parte di attaccanti, l’uso di una versione non aggiornata di PrestaShop e l’installazione di moduli scritti in modo insicuro.
In molti casi, i proprietari dei negozi PrestaShop si trovano ad affrontare una situazione in cui il negozio è già stato personalizzato con vari moduli installati dal cliente stesso o da terze parti nel corso degli anni, magari a seguito di molteplici cambi di agenzie. Inoltre, potrebbe essere stato installato un tema che non è più compatibile con le nuove versioni di PrestaShop, il che spinge il cliente a procrastinare gli aggiornamenti per evitare costi imprevisti.
Per garantire una maggiore tranquillità, è consigliabile rivolgersi a un professionista esperto che possa valutare la sicurezza del sito. Quest’ultimo sarà in grado di individuare eventuali vulnerabilità e proporre soluzioni appropriate per proteggere il tuo negozio e-commerce.