Zabezpečení Prestashop úzce souvisí s verzí, kterou provozujete. Platí jednoduché pravidlo že čím starší verze Prestashopu Vám běží na doméně, tím více „děravá“ a snadněji zneužitelná aplikace eshopu je. Staré a neaktualizované verze Prestashopu pak samozřejmě nevědomky poslouží jako jednoduchá pozvánka pro zneužití eshopu různého rozsahu (podrobněji níže).
Zabezpečení Prestashopu, „hacknutý“ – zavirovaný prestashop
I zde tedy platí pravidlo prevence a využít to nejméně náročné řešení zabezpečení Prestashopu. To co Vás nic nestojí je užít bezpečná hesla (administrace, FTP a databáze). Jako skutečně základní zabezpečení Prestashopu bych doporučil zamezit průniku cizích skriptů. Zde nejčastěji postačí CAPTCHA zabezpečení (známé opsání kódu, či dnes již snadnější výběr tématických obrázků, více zde https://www.google.com/recaptcha/).
Aplikace CAPTCHA zabezpečení na vstupní formuláře Prestashopu, často postačí k ochraně před zneužitím pomocí skriptů (robotů). Poslouží podobně jako zámek na dveřích. Je základní ochranou před kýmkoliv, kdo by otestoval vniknutí a tím praktickou ochranou před převážnou většinou potencionálních „škůdců“.
CAPTCHA samozřejmě není řešením před cíleným útokem konkrétní osoby „hackera“, ale zde prakticky neexistuje jiná ochrana, než právě kvalita a aktuálnost kódu výrobce aplikace, stejně tak znalosti a „kvalita“ útočníka.
Druhy útoků podle náročnosti a možné škody
Napadení spamovacími skripty (smap boty)
- lze vyřadit preventivním CAPTCHA zabezpečením
- méně agresivní ataky lze vyřadit dodatečnou instalací CAPTCHA zabezpečení / vyskytují se nejčastěji a jsou nejméně nákladné
- zde patří obtěžující emaily chodící přes kontaktní formuláře
- cílení je čistě náhodné, případným zdrojem může nežádoucím způsobem posloužit nějaký tématický seznam eshopů
- více agresivní ataky / náklady odpovídající časové náročnosti zvolené metody
- zde patří úkony které aplikovali změnu na FTP či provedli změnu databáze, obvykle není cílem poškodit eshop, nejčastěji zneužijí Váš email k rozesílání spamu dalším osobám (často první zareaguje hosting a eshop Vám odstaví do doby sjednání nápravy)
- horší verzí jsou napadené, zneužité a poškozené eshopy, kde následuje nabídka opravy za odměnu (jde o metodu vydírání a podobně jako u napadení počítačů, neexistuje žádná jistota že bude eshop po úhradě opraven)
- řešení je velmi individuální a náklady podle zvoleného způsobu a postupu, mohou být velmi rozdílné
Napadení fyzickou osobou (hacker)
- nelze vyřadit preventivním CAPTCHA zabezpečením
- lze ztížit průnik pomocí užití aktualizací Prestashop
- nelze preventivně ošetřit vlastním zabezpečením – v kontextu s nemožností garance kompatibility a užití aktualizací (neplatí pro již dříve pozměněné původní verze, které jsou předchozím zásahem mimo základní uvedené výhody)
- vyskytují se velmi zřídka, prakticky nikdy bez jasné motivace zisku či odměny hackera (bez této motivace vynaložená námaha nedává smysl)
Detekce škodlivého softwaru (malware) – virů, červů a trojských koní
- možno otestovat Vaše prestashop domény online na uvedených odkazech níže
- https://app.webinspector.com/
- https://sitecheck.sucuri.net/
- https://www.virustotal.com/#/home/url
- https://www.quttera.com/
Možné zdroje, či slabá místa aktualizovaného Prestashopu
- moduly a šablony z nedůvěryhodných zdrojů (nejčastěji to bývají captchou nechráněné formuláře)
- moduly a šablony s chybným provedením, které jsou následnou slabinou a místem průniku cizího kódu do aplikace (i zde bývá slabinou místo umožnující přenos dat směrem do aplikace a databáze = formuláře)
- v minulosti často selhával modul SEND TO A FRIEND „Modul pro doporučení produktů známému“, doporučuji odinstalovat a smazat z FTP, pokud cheet pouuživat nutností je CAPTCHA zabezpečení
- jednoduchá hesla do administrace, FTP či databáze eshopu (doporučuje se užít generovaná hesla kombinující písmo, číslice a znaky)
- deaktivace vyšší míry zabezpečení v administraci = vypnuté tookeny, povolení užití iframe a pod.
- provoz na http, google významnou měrou nutí weby a eshopy provozu na https (ssl zabezpečení a užití certifikace)
- absence automatického zálohování kompletního obsahu (DB a FTP) na hostingu (často podobná záloha je bezproblémové řešení rychlé obnovy, naopak absence záloh může být fatální a metoda odvirování tímto zbytečně nákladná)
Závěrem doporučení ochrany Prestashop
Základem je preventivní změna hesel k administraci hostingu, administraci eshopu, FTP a databázi. Další nutnou a nejméně náročnou prevencí je aktualizace Prestashopu a zabezpečení vstupních formulářů pomocí CAPTCHA kódu. Ten jednoduše poslouží jako základní brána před zneužitím k cílenému SPAMU chodící Vám na email. Takto zanedbaná prevence často znamená vyšší náklady spojené s očistou a dodatečným zabezpečením.
S četností případů napadení a zneužití doporučuji také používat hosting, který poskytuje automatické každodenní zálohy FTP a datového obsahu, pro bezproblémovou obnovu ze zálohy.