Les cyberattaques ne préviennent jamais. Et très souvent, elles choisissent le pire moment : le dimanche matin, quand personne n'est disponible.
Dimanche, 7h13, je reçois un message :
“Mon site PrestaShop a été piraté. Impossible de me connecter. Le mot de passe admin a changé cette nuit.”
Pas l'idéal pour commencer la journée 😅 Mais lorsqu'un site e-commerce est paralysé, chaque minute compte. Je passe alors immédiatement en mode urgence sécurité.
(Important : je n'ai pas développé ce site. Mon intervention concerne uniquement le dépannage et la sécurisation après incident.)
1. Fermeture immédiate du site
Première étape : je suspends le site via le .htaccess. Un site indisponible vaut largement mieux qu'un site vulnérable qui fuite des données.
2. Sauvegarde complète
Avant toute action, je fais une sauvegarde intégrale du site et de la base de données. C'est une règle absolue : on ne répare jamais sans backup.
3. Scan antivirus du serveur
Le serveur utilise cPanel/WHM avec Imunify360. Je lance un scan complet... et un fichier suspect apparaît :
public_html/modules/security/- Nature : skimmer / CPA
- Objectif : siphonner les données de paiement
Un des pires scénarios pour un site e-commerce.
4. Analyse des logs : la piste d'une vieille extension
Je fouille les logs pour comprendre l'origine de l'intrusion. Une piste revient à plusieurs reprises : un ancien module PrestaShop nommé leoproductsearch.
Les logs montrent des tentatives d'attaque SQL injection avec UNION.
5. Confirmation : la faille est exploitable
Je teste la piste. La faille est bien exploitable, sans aucun doute.
Le plus ironique dans l'histoire ?
Le client n'utilisait même plus ce module.
Il était simplement... oublié.
6. Nettoyage complet du site
Je passe alors à l'assainissement total :
- Suppression du module malveillant
security - Suppression du module vulnérable
leoproductsearch - Suppression des comptes administrateurs inutilisés
- Rotation complète des mots de passe (back-office, FTP, SQL)
- Vérification des fichiers modifiés et du cœur PrestaShop
7. Vérifications, rapport et remise en ligne
Je procède ensuite à l'ensemble des contrôles :
- Faille neutralisée
- Site fonctionnel
- Aucune persistance malveillante
- Recommandations envoyées au client
Le site est remis en ligne 2 heures après le début de l'intervention.
Bonus : contact du développeur du module
J'informe le développeur de la faille identifiée. Sa réponse ?
“Ah oui, cette faille a été corrigée... il y a plusieurs années.”
Ce qui confirme que le module était obsolète depuis longtemps.
Un incident évitable à 100%
Cet incident est typique : le piratage ne vient pas d'une “attaque exceptionnelle”, mais d'un module oublié, non mis à jour, et surtout non utilisé.
Ce genre d'oubli crée :
- des portes d'entrée silencieuses
- des risques de fuite de données
- des blocages complets du site
- des pertes financières directes
Et tout cela aurait pu être évité par une simple routine de maintenance.
En résumé
Pour éviter ce type d'incident sur PrestaShop, il faut :
- Supprimer les modules inutilisés
- Mettre à jour régulièrement les modules actifs
- Vérifier les comptes administrateurs existants
- Surveiller les logs serveurs
- Planifier une maintenance de sécurité
Ce sont des gestes simples... mais qui évitent des dimanches compliqués 😅
Besoin d'un audit ou d'une sécurisation PrestaShop ?
J'interviens lors d'incidents de sécurité, mais aussi en prévention : maintenance, nettoyage, sécurisation, audit complet.
Mieux vaut agir avant... que découvrir un