Czy moduły w Twoim sklepie PrestaShop są bezpieczne?
Ekosystem PrestaShop jest pełen świetnych modułów, jest również pełen modułów, które albo lata świetności mają za sobą, albo ich developerzy powinni być lata świetlne od komputera. Temat ataków na sklepy czy strony bazujące na oprogramowaniu open-source nie jest nowy, z tym problemem zmaga się każda platforma, również PrestaShop. Są jednak w naszym ekosystemie inicjatywy, które mają na celu pomóc społeczności w tej nierównej walce. Poznajcie Friends of Presta Security Advisories.
Friends of Presta
Zacznijmy od tego, czym jest Friends of Presta? Jak sami piszą na swojej stronie:
„Friends of Presta zrzesza społeczność PrestaShop składającą się z programistów, integratorów, agencji i wydawców oprogramowania. Jesteśmy pierwszą siecią ekspertów technologicznych PrestaShop CMS.”
Jest to niezależne stowarzyszenie członków społeczności PrestaShop założone we Francji, które prowadzi szereg inicjatyw w naszym ekosystemie. Jedną z nich są „Security advisories”, które mają na celu poprawę bezpieczeństwa w ekosystemie.
Friends of Presta Security Advisories
„Przyjaciele PrestaShop” wyszli z inicjatywą, która polega na tworzeniu katalogu z informacjami o lukach w modułach dostępnych dla PrestaShop. Reagują oni na raporty społeczności, klientów członków tego stowarzyszenia, badają je i dbają o to by cały proces kończył się na załataniu luki.
Podążają oni za najlepszymi praktykami dotyczącymi raportowania takich błędów, badają problem, kontaktują się z autorami modułów w których wykryto luki, a potem udostępniają szczegółowe informacje na temat potencjalnego ataku i informacje, w której wersji znajduje się łatka bezpieczeństwa. Czasami bywa jednak, że autor kompletnie ignoruje komunikacje z ich strony, niestety niektóre popularne marketplace (nie te z Polski i nie ten oficjalny) ignorują wezwania do reakcji. W tym przypadku opiekunowie z FoP rekomendują aby znaleźć alternatywe dla używanego modułu.
Lista luk bezpieczeństwa modułów na tej stronie może niewątpliwie ułatwić agencjom i właścicielom sklepu reakcje już po ataku, ale co najważniejsze, pozwala zareagować zanim jeszcze do niego doszło.
Automatyczne sprawdzanie modułów w sklepie
Teraz gdy wiecie już, że jest taka inicjatywa przejdźmy do głównego punktu tego artykułu. Jeden ze członków społeczności stworzył moduł, który pozwala na skanowanie Waszych sklepów w poszukiwaniu dodatków, które mają znane luki bezpieczeństwa.
Wilson Alba Cal, udostępnił dodatek, który pobiera informacje o lukach ze strony Friends of Presta i tworzy gotowy raport do znalezienia w Waszym back office. Moduł posiada również możliwość podpięcia zadania cyklicznego, które będzie sprawdzać sklep, np. raz dziennie, a gdy wykryte zostaną jakieś moduły, które wymagają Waszej uwagi zostanie do Was wysłany email.
Bezpieczeństwo sklepu PrestaShop
Warto zainstalować opisany moduł, dodać zadanie cykliczne na Waszym serwerze i pomóc sobie zachować Wasze sklepy bezpiecznymi. Oczywiście to nie jest rozwiązanie każdego problemu bezpieczeństwa. Bezpieczeństwo jakiegokolwiek oprogramowania to temat bardziej złożony. Powinniście, przede wszystkim, zadbać o regularne aktualizacje. Jeżeli Wasz sklep jest na starszej wersji PrestaShop, nic nie stoi na przeszkodzie by agencja, która Was obsługuje wdrożyła tylko i wyłącznie łatki zabezpieczeń wydane dla wersji nowszych. Bardzo często jest to możliwe, czasami wymaga więcej pracy, ale na pewno nie tyle co pełna aktualizacja.
Warto pamiętać również o tym by odpowiednio dbać o przechowywanie haseł do Waszego back office, adres do Waszego panelu powienien być unikatowy, być może ten katalog powinien być również dodatkowo zabezpieczony hasłem, możecie również rozważyć użycie modułów do dwuskładnikowego uwierzytelniania, ważne również jest by regularnie aktualizować same moduły. Natomiast tego co składa się na to by Wasz sklep nie padł ofiarom ataku jest niewątpliwie więcej. Nie dotyczy to tylko PrestaShop, każdego miesiąca podobna sytuacja występuje w ekosystemie WordPress czy Magento, dlatego nawet wdrożenie rekomendacji wyżej czy pobranie i instalacja opisanego w tym artykule modułu, to krok na przód.
Moduł fop_publishedvulnerabilityscan
Najnowszą wersję modułu możecie pobrać na GitHub w repozytorium gdzie trwają prace nad jego rozwojem. Jeżeli jesteście developerami i chcecie rozwinąć ten moduł o nowe możliwości, to oczywiście również jest możliwe.
Wspomniany w tym artykule moduł to nie jedyny produkt społeczności aby pomóc Wam w walce z niebezpieczeństwami w ekosystemie PrestaShop, w kolejnych artykułach przybliże Wam bardziej zaawansowane rozwiązania.