Reklama
Partner portalu

DlaHandlu.pl – wiadomości handlowe, FMCG, ecommerce, franczyza, sieci handlowe

PrestaShop zmierzyło się z atakiem hakerskim. Jak sobie radzić w cyberprzestrzeni?

22 lipca 2022 pojawiła się oficjalna informacja potwierdzająca poważną lukę bezpieczeństwa w PrestaShop oraz ataki na niektóre sklepy, działające na platformie. Dlatego PrestShop stworzył odpowiednie procedury i narzędzia, które pomagają sklepom w przypadku wykrycia włamania.
Reklama

Masz sklep na PrestaShop?

- To jest pierwszy tak poważny atak hakerski na PrestaShop, z jakim mamy do czynienia w naszej 6-letniej historii pracy na na tej platformie. Postanowiliśmy mówić o tym głośno, uświadamiać o zagrożeniu i pomóc sklepom. Po pierwsze nagraliśmy specjalny odcinek filmu z serii Prosta Presta, w którym CEO Convertis – Grzegorz Frątczak rozmawia z członkami zespołu Convertis – Pawłem Krystem – programistą PHP oraz Piotrem Trojanowskim – koordynatorem. Specjaliści poruszają temat ataków hakerskich, które wydarzyły się w ostatnim czasie, a w których opanowaniu mieli okazję uczestniczyć.

Film dostępny pod linkiem

PrestaShop – poprawka bezpieczeństwa

Z rozmowy z Pawłem i Piotrem wynika, że problemy z bezpieczeństwem Presty są związane z modułem wishlisty oraz wersją PrestaShop 1.7, a także pewnymi lukami w jej corze. PrestaShop informuje o aktualizacji, w której jest już wdrożona poprawka bezpieczeństwa, ale czy właściciel sklepu internetowego jest w stanie załatwić sprawę samodzielnie?

Według Pawła, w pewnych wyjątkowych sytuacjach być może tak. Ale musiałby to być przypadek, gdzie sklep posiada jedną z najnowszych wersji PrestaShop bez dużych modyfikacji oraz raczej bez modułów zewnętrznych i może samodzielnie dokonać aktualizacji do najnowszej wersji Prestashop. Jednak w większość przypadków tak nie jest i jedynie programista jest w stanie wgrać łatkę bezpieczeństwa poprawnie.

Z naszego doświadczenia wynika, że włamy zdarzają się również w wersji 1.6, gdzie nie ma modułu wishlisty. Także sytuacja jest dosyć skomplikowana. Należy jednak pamiętać, że sklep internetowy to nie jest gotowy produkt, tylko zestaw różnych elementów, m.in. modułów. Musimy pamiętać też, że atak może nastąpić w jakiś zupełnie inny sposób np. poprzez włamanie na skrzynkę mailową klienta i uzyskanie dostępu do panelu administracyjnego, co umożliwi hakerowi wprowadzenie zmian w sklepie z poziomu administratora. Słabym punktem mogą być też niewystarczające zabezpieczenia serwera.

My wdrażając nowy sklep zaczynamy od czystej najnowszej wersji Presty, uzupełniony oficjalnymi modułami od PrestaShop lub swoimi, które dobrze znamy, wiemy co tam jest. Klienci którzy do nas przychodzą na stałą obsługę często mają już jakąś historię – wgrane moduły od przeróżnych dostawców, modyfikacje. Wówczas jest naprawdę ciężko doszukać się pewnych rzeczy - wskazują analitycy.

Jak dbać o bezpieczeństwo sklepu internetowego?

1. Nie czekać z działaniem, jeśli już wiadomo, że coś się dzieje i są takie ataki – lepiej zaryzykować i zadziałać bardzo szybko wgrywając zmiany od razu na produkcji (a nie ostrożnie najpierw na kopii) niż ryzykować, że dojdzie do ataku.

2. Dbać przez cały czas o higienę sklepu oraz higienę bezpieczeństwa, czyli o: odpowiednie hasła, a także ich zabezpieczenie

nie korzystać z backendu sklepu przez zewnętrzne wifi oraz zabezpieczać sieć wifi (duży problem zwłaszcza w czasach pracy zdalnej)

utrzymywać porządek w sklepie np. usuwać nieużywane moduły – takie “śmieci” to furtki, które zwiększają ryzyko ataku, a w razie problemów kolejne setki-tysiące linijek kodu, które trzeba sprawdzić.

wykonywać co jakiś czas audyty bezpieczeństwa, co zresztą sama PrestaShop wyraźnie zaleca w oficjalnej informacji wydanej na temat problemów z bezpieczeństwem.

utrzymywać kopie zapasowe sklepu.

Takie wydarzenia zawsze przypominają (niestety dosyć brutalnie), że hakerzy i ataki na strony istnieją.

Reklama

Lista tagów

Zobacz komentarze (0)

Proszę podać imię
Proszę wpisać treść komentarza
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum