Le site officiel de PrestaShop piraté, appel à la vigilance !

8
130

Le 24 août, le site officiel de PrestaShop à subit une intrusion. L’équipe l’a annoncé publiquement dans une brève et a publié une procédure de sécurité. La lecture de celle-ci est plus que recommandée pour tous les possesseur de boutique en ligne tournant sous PrestaShop !

Le site officiel prestashop.com a été victime d’une infraction électronique entrainant le détournement d’un script de mise à jour d’actualité, visible depuis le back office des boutiques PrestaShop.

L’équipe PrestaShop a mis tout en œuvre pour identifier et corriger rapidement le problème, un correctif est dès à présent disponible.

 

Comment savoir si je suis concerné ?

Seuls les utilisateurs de la version 1.4 /1.4.1/ 1.4.2/1.4.3/1.4.4 sont concernés, mais pas forcément touchés.

Si vous utilisez une de ces versions, vérifiez si :

  • un fichier “her.php” se trouve à la racine de votre répertoire /modules
  • des fichiers “.php” autres que “index.php” se trouvent dans les répertoires /upload et /download
  • le fichier footer.tpl de votre thème ait été modifié
  • le répertoire tools/smarty_v2 a disparu

Si vous êtes dans au moins un de ces cas, votre boutique est affectée, mais vous pouvez très simplement corriger le problème, en suivant la procédure ci-dessous.

Par mesure de prévention, nous vous conseillons d’appliquer ce correctif même si votre boutique n’a pas été affectée.

 

Que dois-je faire ?

  • Changez le mot de passe de votre base de données ou contactez votre hébergeur si vous ne savez pas comment procéder. Une fois le changement de mot de passe effectué, ouvrez le fichier settings.inc.php du dossier /config et remplacez votre ancien mot de passe par le nouveau. Voir ci-dessous.

  • Téléchargez ensuite le correctif élaboré par PrestaShop en cliquant ici
  • Placez-le à la racine de votre boutique avec votre client FTP (Filezilla, Transmit…)
  • Rendez-vous à l’adresse http://www.maboutique.com/herfix.php
  • Le correctif est maintenant appliqué, vérifiez que le fichier herfix.php précédemment chargé à la racine de votre boutique s’est bien automatiquement supprimé
  • Renommez votre répertoire admin
  • Changez le mot de passe de tous vos administrateurs back office

 

Pour toute aide et questions complémentaires, envoyez-nous un e-mail à security@prestashop.comVous recevrez immédiatement une réponse de notre équipe à vos questions.

8 Commentaires

  1. la dernière fois que tu as rapporté la faille pour les wordpress, j’ai pas agit et me suis fait piraté TN…possédant également un prestashop je prend les devant cette fois ci 😉
    bonne continuation

Les commentaires sont fermés.