Faille de sécurité importante relevé dans Prestashop

Le site officiel prestashop.com a été victime d’une infraction électronique entrainant le détournement d’un script de mise à jour d’actualité, visible depuis le back office des boutiques PrestaShop.

L’équipe PrestaShop a mis tout en œuvre pour identifier et corriger rapidement le problème, un correctif est dès à présent disponible.

Comment savoir si je suis concerné ?

Seuls les utilisateurs de la version 1.4 /1.4.1/ 1.4.2/1.4.3/1.4.4 sont concernés, mais pas forcément touchés.

Si vous utilisez une de ces versions, vérifiez si:

  • un fichier "her.php" se trouve à la racine de votre répertoire /modules
  • des fichiers ".php" autres que "index.php" se trouvent dans les répertoires /upload et /download
  • le fichier footer.tpl de votre thème ait été modifié
  • le répertoire tools/smarty_v2 a disparu

Si vous êtes dans au moins un de ces cas, votre boutique est affectée, mais vous pouvez très simplement corriger le problème, en suivant la procédure ci-dessous.

Par mesure de prévention, nous vous conseillons d'appliquer ce correctif même si votre boutique n'a pas été affectée.

Que dois-je faire ?

  1. Changez le mot de passe de votre base de données ou contactez votre hébergeur si vous ne savez pas comment procéder. Une fois le changement de mot de passe effectué, ouvrez le fichier settings.inc.php du dossier /config et remplacez votre ancien mot de passe par le nouveau. Voir ci-dessous.
  2. Téléchargez ensuite le correctif élaboré par PrestaShop en cliquant ici
  3. Placez-le à la racine de votre boutique avec votre client FTP (Filezilla, Transmit…)
  4. Rendez-vous à l’adresse http://www.maboutique.com/herfix.php
  5. Le correctif est maintenant appliqué, vérifiez que le fichier herfix.php précédemment chargé à la racine de votre boutique s'est bien automatiquement supprimé
  6. Renommez votre répertoire admin
  7. Changez le mot de passe de tous vos administrateurs back office

Toute l’équipe PrestaShop souhaite remercier la communauté de son implication dans la résolution de ce problème.

Si vous désirez plus d'information et connaître des moyens préventifs de vous protéger, n'hésitez pas à nous contacter.