Salt la conținut
Securitate PrestaShop

Audit Securitate pentru PrestaShop

Verificare de securitate completa pentru magazinul tau PrestaShop — de la vulnerabilitati in module la expunerea fisierelor de configurare si protectia Back Office.

Audit adaptat pentru tipul selectat

Primul audit per domeniu este gratuit. Nu necesită card sau telefon. Vezi exemple de rapoarte

De ce ai nevoie de un audit de securitate specific pentru PrestaShop?

Magazinele PrestaShop proceseaza date sensibile: informatii de plata, adrese, date personale ale clientilor. O vulnerabilitate de securitate nu inseamna doar un site compromis — inseamna potentiala expunere a datelor clientilor, cu consecinte legale (GDPR) si reputationale devastatoare. Auditul de securitate PrestaShop de la SoftAudit analizeaza vectorii de atac specifici platformei.

In 2023-2024, mai multe vulnerabilitati critice au afectat module PrestaShop populare, inclusiv SQL injection in module de plata si file upload vulnerabilities. Echipa de securitate PrestaShop (Friends of Presta) a raportat peste 200 de CVE-uri in module third-party. In Romania, multe magazine ruleaza versiuni de PrestaShop fara ultimele patch-uri de securitate.

Ai nevoie de acest audit daca procesezi plati online prin magazinul PrestaShop, daca ai module third-party instalate, daca nu ai actualizat PrestaShop de mai mult de 6 luni, daca ai observat activitate suspecta in Back Office, sau daca vrei sa te conformezi cerintelor PCI DSS pentru procesare de plati.

Ce verificam in auditul de securitate PrestaShop

Auditul acopera 18 verificari de securitate specifice ecosistemului PrestaShop: module, configuratie, Back Office si protectia datelor.

Fisiere de Configurare Expuse

Verificam daca app/config/parameters.php, config/settings.inc.php si config/defines.inc.php sunt accesibile public. Aceste fisiere contin credentialele bazei de date si cheile secrete.

Admin Folder si Back Office

Verificam daca folderul admin a fost redenumit (custom URL), daca e protejat cu IP whitelist si daca tokenizarea CSRF functioneaza corect pe toate formularele.

Module cu Vulnerabilitati CVE

Analizam modulele instalate vizibile si le comparam cu baza de date de vulnerabilitati PrestaShop (Friends of Presta, CVE databases). Identificam module cu SQL injection, XSS sau file upload vulnerabilities.

Override System si File Integrity

Sistemul de override din PrestaShop permite suprascrierea oricarui fisier. Verificam daca exista override-uri suspecte care ar putea indica o compromitere sau backdoor.

SQL Injection in Module

Multe module third-party nu folosesc corect pSQL() pentru sanitizarea inputului. Verificam pattern-urile cunoscute de SQL injection in modulele vizibile public.

Securitate Plati si Date Clienti

Verificam daca conexiunea la procesatorul de plati e securizata (HTTPS), daca nu se stocheaza date de card local, si daca paginile de checkout sunt protejate corect.

Vulnerabilitati frecvente in magazinele PrestaShop

Acestea sunt cele mai periculoase vulnerabilitati pe care le gasim in magazinele PrestaShop:

Module third-party cu SQL injection

Modulele descarcate din surse neoficiale sau versiuni vechi ale modulelor populare pot contine vulnerabilitati SQL injection care permit atacatorilor sa extraga intreaga baza de date.

Solutie: Actualizeaza toate modulele la ultima versiune. Sterge modulele nefolosite. Descarca module DOAR de pe PrestaShop Addons sau de la dezvoltatori verificati. Verifica CVE-urile pe security.friendsofpresta.org.

Admin folder cu nume default

Folderul admin pastrat ca /admin/ sau /admincp/ e usor de ghicit de boti. Odata gasit, poate fi tinta de brute force.

Solutie: Redenumeste folderul admin intr-un nume unic si greu de ghicit (ex: /admin-x7k9m2/). Adauga IP whitelist in .htaccess pentru folderul admin. Activeaza 2FA daca e disponibil.

parameters.php accesibil public

Fisierul app/config/parameters.php contine credentialele bazei de date, cookie key si mailer credentials. Daca serverul e configurat gresit, poate fi descarcat direct.

Solutie: Adauga in .htaccess: <FilesMatch 'parameters\.php$'> Require all denied </FilesMatch>. Verifica ca folderul /app/config/ nu are directory listing activat.

Versiune PrestaShop fara patch-uri

PrestaShop lanseaza patch-uri de securitate regulat. Versiunile 1.7.8.x fara ultimul patch au vulnerabilitati cunoscute care sunt activ exploatate.

Solutie: Aplica ultimul patch de securitate pentru versiunea ta. Verifica pe build.prestashop-project.org lista de patch-uri. Daca e posibil, actualizeaza la ultima versiune stabila.

Debug mode activat pe productie

_PS_MODE_DEV_ setat pe true in config/defines.inc.php afiseaza stack traces detaliate care dezvaluie structura fisierelor, query-uri SQL si versiunile folosite.

Solutie: Seteaza _PS_MODE_DEV_ pe false in config/defines.inc.php. Verifica si ca in Back Office > Advanced Parameters > Performance, debugging e dezactivat.

Lipsa security headers

Multe magazine PrestaShop nu au configurate headerele de securitate HTTP: HSTS, CSP, X-Frame-Options, X-Content-Type-Options.

Solutie: Adauga headerele in .htaccess sau in configuratia serverului web. Pentru PrestaShop, cele mai importante sunt: HSTS (forteaza HTTPS), X-Frame-Options (previne clickjacking), si X-Content-Type-Options.

Critic Atentie Minor

Ghid de securizare PrestaShop in 5 pasi

Urmand acesti 5 pasi, securizezi magazinul tau PrestaShop:

1

Actualizeaza si curata modulele

Actualizeaza PrestaShop si toate modulele. Sterge modulele nefolosite complet (nu doar dezactiva). Verifica fiecare modul pe security.friendsofpresta.org pentru CVE-uri cunoscute.

2

Securizeaza Back Office

Redenumeste folderul admin. Adauga IP whitelist in .htaccess. Schimba parola admin cu una complexa (16+ caractere). Activeaza 2FA daca e disponibil. Limiteaza numarul de incercari de login.

3

Protejeaza fisierele de configurare

Blocheaza accesul public la parameters.php, settings.inc.php, defines.inc.php. Dezactiveaza directory listing. Verifica ca debug mode e off pe productie.

4

Configureaza headerele de securitate

Adauga in .htaccess: Strict-Transport-Security, X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN, Referrer-Policy: strict-origin-when-cross-origin.

5

Monitorizeaza si auditeaza regulat

Verifica saptamanal daca au aparut CVE-uri noi pentru modulele tale. Ruleaza un audit SoftAudit lunar. Configureaza backup-uri automate zilnice (fisiere + baza de date).

Cum sa interpretezi scorul de securitate

80-100

Bine

Magazinul tau PrestaShop e bine securizat. Modulele sunt actualizate, Back Office e protejat, fisierele sensibile nu sunt expuse. Continua cu monitorizare periodica.

50-79

Atentie

Exista vulnerabilitati care necesita atentie: module neactualizate, admin folder predictibil, sau security headers lipsa. Recomandam rezolvarea urgenta.

0-49

Critic

Magazinul are vulnerabilitati critice: module cu CVE-uri cunoscute, fisiere de configurare expuse, sau versiune PrestaShop nepatched. Datele clientilor pot fi in pericol.

Securitate PrestaShop in cifre

Statistici despre amenintarile de securitate pe PrestaShop:

200+

CVE-uri raportate in module PrestaShop

60%

Din magazine nu au ultimele patch-uri

SQL

Injection e cel mai frecvent vector de atac

18

Verificari securitate specifice PrestaShop

Rezultate reale dupa securizare PrestaShop

Exemple de imbunatatiri dupa rezolvarea vulnerabilitatilor:

Magazin de electrocasnice cu 2.000+ produse

Inainte: 31Dupa: 90

3 module cu CVE-uri SQL injection, admin folder default, parameters.php expus, debug mode activ. Dupa actualizare module, securizare admin si configurare headers, scorul a urcat la 90.

Magazin fashion multi-limba

Inainte: 48Dupa: 94

PrestaShop 1.7.6 fara patch-uri, 5 module inactive cu vulnerabilitati, fara HTTPS pe checkout. Dupa upgrade la 1.7.8.10 + securizare completa, zero incidente de securitate in 12 luni.

Audit adaptat per tip de site:

Intrebari frecvente — Audit Securitate PrestaShop

Cum aflu daca magazinul meu PrestaShop a fost compromis?+
Semne: comenzi fraudulente, fisiere .php necunoscute in /modules/ sau /override/, modificari in baza de date pe care nu le-ai facut, redirect-uri catre alte site-uri. Auditul nostru detecteaza indicii vizibile ale compromiterii.
Ce sunt CVE-urile si de ce conteaza?+
CVE (Common Vulnerabilities and Exposures) sunt vulnerabilitati de securitate inregistrate oficial. Fiecare CVE are un cod unic (ex: CVE-2023-39526) si o severitate. Modulele cu CVE-uri active sunt tinte prioritare pentru atacatori.
E sigur sa folosesc module de pe PrestaShop Addons?+
PrestaShop Addons e sursa cea mai sigura, dar nu garanteaza 100% securitate. Verificari aditionala pe security.friendsofpresta.org si actualizeaza modulele regulat.
Trebuie sa fac upgrade la PrestaShop 8?+
Nu neaparat. PrestaShop 1.7.8.x inca primeste patch-uri de securitate. Dar daca planifici un upgrade, e o oportunitate buna de a face si un audit complet de securitate pe noua versiune.
Cum protejez datele clientilor (GDPR)?+
Asigura-te ca: conexiunea e HTTPS pe tot site-ul, nu stochezi date de card local (foloseste gateway extern), ai modul GDPR instalat si configurat, backup-urile sunt criptate. Auditul nostru verifica conformitatea tehnica GDPR.
Cat de des ar trebui sa fac audit de securitate?+
Recomandam lunar pentru magazine active cu plati online. Saptamanal daca ai multe module third-party. Dupa fiecare instalare de modul nou sau actualizare majora.

Verifica securitatea magazinului tau PrestaShop

Introdu URL-ul magazinului si afla instant daca are vulnerabilitati. Gratuit, fara inregistrare.

Incepe auditul gratuit