skype kontakt - presta.profi

Home » novinky » Základní zabezpečení Prestashop

Základní zabezpečení Prestashop

Zabezpečení Prestashop úzce souvisí s verzí, kterou provozujete. Platí jednoduché pravidlo že čím starší verze Prestashopu Vám běží na doméně, tím více „děravá“ a snadněji zneužitelná aplikace eshopu je. Staré a neaktualizované verze Prestashopu pak samozřejmě nevědomky poslouží jako jednoduchá pozvánka pro zneužití eshopu různého rozsahu (podrobněji níže).

Zabezpečení Prestashopu, „hacknutý“ – zavirovaný prestashop

I zde tedy platí pravidlo prevence a využít to nejméně náročné řešení zabezpečení Prestashopu. To co Vás nic nestojí je užít bezpečná hesla (administrace, FTP a databáze). Jako skutečně základní zabezpečení Prestashopu bych doporučil zamezit průniku cizích skriptů. Zde nejčastěji postačí CAPTCHA zabezpečení (známé opsání kódu, či dnes již snadnější výběr tématických obrázků, více zde https://www.google.com/recaptcha/).

recaptcha login

Stačí jednoduchý klik a tím zatržení

Obrázkový captcha test

V případě podezření na zneužití CAPTCHA nabídne jednoduchou interakci

Aplikace CAPTCHA zabezpečení na vstupní formuláře Prestashopu, často postačí k ochraně před zneužitím pomocí skriptů (robotů). Poslouží podobně jako zámek na dveřích. Je základní ochranou před kýmkoliv, kdo by otestoval vniknutí a tím praktickou ochranou před převážnou většinou potencionálních „škůdců“.
CAPTCHA samozřejmě není řešením před cíleným útokem konkrétní osoby „hackera“, ale zde prakticky neexistuje jiná ochrana, než právě kvalita a aktuálnost kódu výrobce aplikace, stejně tak znalosti a „kvalita“ útočníka.

 

Druhy útoků podle náročnosti a možné škody

Napadení spamovacími skripty (smap boty)

  • lze vyřadit preventivním CAPTCHA zabezpečením
  • méně agresivní ataky lze vyřadit dodatečnou instalací CAPTCHA zabezpečení / vyskytují se nejčastěji a jsou nejméně nákladné
    • zde patří obtěžující emaily chodící přes kontaktní formuláře
    • cílení je čistě náhodné, případným zdrojem může nežádoucím způsobem posloužit nějaký tématický seznam eshopů
  • více agresivní ataky / náklady odpovídající časové náročnosti zvolené metody
    • zde patří úkony které aplikovali změnu na FTP či provedli změnu databáze, obvykle není cílem poškodit eshop, nejčastěji zneužijí Váš email k rozesílání spamu dalším osobám (často první zareaguje hosting a eshop Vám odstaví do doby sjednání nápravy)
    • horší verzí jsou napadené, zneužité a poškozené eshopy, kde následuje nabídka opravy za odměnu (jde o metodu vydírání a podobně jako u napadení počítačů, neexistuje žádná jistota že bude eshop po úhradě opraven)
    • řešení je velmi individuální a náklady podle zvoleného způsobu a postupu, mohou být velmi rozdílné

Napadení fyzickou osobou (hacker)

  • nelze vyřadit preventivním CAPTCHA zabezpečením
  • lze ztížit průnik pomocí užití aktualizací Prestashop
  • nelze preventivně ošetřit vlastním zabezpečením – v kontextu s nemožností garance kompatibility a užití aktualizací (neplatí pro již dříve pozměněné původní verze, které jsou předchozím zásahem mimo základní uvedené výhody)
  • vyskytují se velmi zřídka, prakticky nikdy bez jasné motivace zisku či odměny hackera (bez této motivace vynaložená námaha nedává smysl)

 

Detekce škodlivého softwaru (malware) – virů, červů a trojských koní

 

Možné zdroje, či slabá místa aktualizovaného Prestashopu

  • moduly a šablony z nedůvěryhodných zdrojů (nejčastěji to bývají captchou nechráněné formuláře)
  • moduly a šablony s chybným provedením, které jsou následnou slabinou a místem průniku cizího kódu do aplikace (i zde bývá slabinou místo umožnující přenos dat směrem do aplikace a databáze = formuláře)
  • v minulosti často selhával modul SEND TO A FRIEND „Modul pro doporučení produktů známému“, doporučuji odinstalovat a smazat z FTP, pokud cheet pouuživat nutností je CAPTCHA zabezpečení
  • jednoduchá hesla do administrace, FTP či databáze eshopu (doporučuje se užít generovaná hesla kombinující písmo, číslice a znaky)
  • deaktivace vyšší míry zabezpečení v administraci = vypnuté tookeny, povolení užití iframe a pod.
  • provoz na http, google významnou měrou nutí weby a eshopy provozu na https (ssl zabezpečení a užití certifikace)
  • absence automatického zálohování kompletního obsahu (DB a FTP) na hostingu (často podobná záloha je bezproblémové řešení rychlé obnovy, naopak absence záloh může být fatální a metoda odvirování tímto zbytečně nákladná)

 

Závěrem doporučení ochrany Prestashop

Základem je preventivní změna hesel k administraci hostingu, administraci eshopu,  FTP a databázi. Další nutnou a nejméně náročnou prevencí je aktualizace Prestashopu a zabezpečení vstupních formulářů pomocí CAPTCHA kódu. Ten jednoduše poslouží jako základní brána před zneužitím k cílenému SPAMU chodící Vám na email. Takto zanedbaná prevence často znamená vyšší náklady spojené s očistou a dodatečným zabezpečením.

S četností případů napadení a zneužití doporučuji také používat hosting, který poskytuje automatické každodenní zálohy FTP a datového obsahu, pro bezproblémovou obnovu ze zálohy.