En tant que membre de la cellule sécurité de l’association communautaire Friends of Presta, OHweb se doit de révéler et publier les éventuelles failles de sécurité sur PrestaShop.
Pour cela, nous nous tenons informés au quotidien de l’activité malveillante autour de l’écosystème PrestaShop.
Cette semaine, une alerte a été publiée, elle concerne les liens d’accès au BackOffice (ou url de l’administration). Une liste de liens a été scannée par des réseaux malveillants, et les BackOffice concernés risquent d’être piratés.
Le détail est sur cette page : https://friends-of-presta.github.io/security-advisories/brute-force/2023/03/02/compromised-bo-links.html
Pour rappel l’url de l’administration est de la forme
https://www.monsite.com/nomdudossieradmin
Nous recommandons fortement dès à présent de mettre en place une ou plusieurs des 3 solutions suivantes :
1) Modifier le nom dossier d’accès à l’administration de votre boutique Prestashop. Que le nom figure ou pas sur la liste évoquée, il est préférable de le sécuriser en y mettant un nom complexe. opération simple à faire depuis un accès FTP.
2) Ajouter un login/mot de passe type htpasswd, ça vous demande un nom d’utilisateur et un mot de passe avant le formulaire de connexion de PrestaShop (nécessite quelques connaissances technique, demande d’intervention technique)
3) Ajouter un module qui renforce l’authentification comme Google Authenticator (ce module demande un code valable quelques minutes que vous pouvez générer avec l’application Google Authenticator sur votre mobile pour sécuriser l’accès).
https://addons.prestashop.com/fr/securite-access/5831-google-authenticator-two-factor-back-office-security.html
Si vous êtes en contrat de maintenance ou si vous disposez encore de tickets (de l’ancienne formule), nous nous en occuperons dans les prochains jours de renommer le nom du dossier d’administration..
Dans le cas contraire, vous pouvez contacter Diane FOLETTI notre directrice de clientèle, à l’adresse diane@ohweb.fr.
N’hésitez pas à nous contacter si vous souhaitez plus d’informations.