Zabezpieczenie sklepu PrestaShop

Regularne aktualizacje, kopie zapasowe, stosowanie mocnych haseł oraz odpowiednia konfiguracja serwera i bazy danych to kluczowe kroki do utrzymania bezpiecznego środowiska dla PrestaShop i Twoich klientów.

Zabezpieczenie sklepu internetowego opartego o PrestaShop jest kluczowe dla zapewnienia bezpieczeństwa zarówno danych klientów, jak i samego biznesu. Poniżej znajduje się krótki przewodnik opisujący najważniejsze kroki, które warto podjąć, aby zminimalizować ryzyko ataków oraz zabezpieczyć sklep przed potencjalnymi zagrożeniami. Bardziej profesjonalne rozwiązania podnoszące bezpieczeństwo sklepu zapewni dedykowana konfiguracja serwera pod PrestaShop. Poniższe propozycje możesz jednak wdrożyć samodzielnie, do czego gorąco zachęcamy!

Aktualizacja PrestaShop i modułów

Regularne aktualizowanie PrestaShop oraz zainstalowanych modułów i szablonów to podstawa bezpieczeństwa PrestaShop. Nowe wersje często zawierają poprawki eliminujące luki wykryte w poprzednich wersjach.

  • Upewnij się, że zawsze korzystasz z najnowszej stabilnej wersji platformy. Regularnie sprawdzaj dostępność aktualizacji w panelu administracyjnym i instaluj wszystkie krytyczne poprawki.
  • Zainstalowane moduły mogą stanowić lukę bezpieczeństwa. Aktualizuj je bezpośrednio z panelu zarządzania PrestaShop lub ze strony twórcy modułu. Zanim zainstalujesz nowy plugin – sprawdź czy nie pochodzi z podejrzanego źródła. 
  • Zadbaj również o swój serwer – powinien mieć zapewnioną opiekę administrayjną, zainstalowane wszystkie systemowe poprawki bezpieczeństwa i sprawne kopie zapasowe.

Zmiana adresu panelu administracyjnego

Domyślny adres panelu administracyjnego (np. mojsklep.pl/admin) jest łatwy do odnalezienia przez boty i potencjalnych hakerów. Zmiana nazwy katalogu administracyjnego na nietypową (np. mojsklep.pl/panel-secure-123) utrudni jego znalezienie a więc i próby włamania.

Jak zmienić adres panelu administracyjnego? Zaloguj się na serwer FTP, zmień nazwę folderu admin na bardziej złożoną, a następnie zaktualizuj ścieżkę w pliku config/settings.inc.php.

Ograniczenie dostępu do panelu administracyjnego

Ogranicz dostęp do panelu tylko do określonych adresów IP. Dzięki temu tylko osoby z uprawnionych lokalizacji będą mogły zalogować się do panelu a pozostałym zostanie zwrócony komunikat o błędzie dostępu.

Jak ograniczyć dostęp po IP w .htaccess?

<Files "*">
    Order Deny, Allow
    Deny from all
    Allow from XX.XX.XX.XX
</Files>
 

Gdzie XX.XX.XX.XX to adres IP, z którego chcesz umożliwić dostęp. Jeśli nie wiesz, jak odczytać swój adres IP – to możesz to zrobić wchodząc na stronę https://checkip.amazonaws.com

Uprawnienia plików i katalogów

Nieprawidłowe ustawienie praw dostępu do plików i katalogów może umożliwić nieuprawnionym użytkownikom wgląd lub modyfikację plików sklepu na serwerze. Często nieprawidłowo ustawione uprawnienia plików pozwalają atakującemu na wykorzystanie innych luk bezpieczeństw, co w ostateczności może prowadzić do np. wprowadzania zmian w serwisie (np. podmiana numeru rachunku bankowego sklepu lub formularza płatności) lub uruchomienia na tym samym serwerze dodatkowych skryptów (np. wysyłających spam lub atakujących inne strony). 

Sprawdź uprawnienia plików w PrestaShop – pliki powinny mieć prawa 644, a katalogi 755. Wyjątkiem są katalogi z możliwością zapisu (np. img czy cache), które mogą wymagać praw 775.

Wyłącz wyświetlania błędów PHP – nigdy nie wyświetlaj błędów na produkcyjnej stronie. Informacje te (np. lokalizacja plików na serwerze lub nazwa użytkownika konta FTP) mogą być użyteczne dla atakujących.

HTTPS i instalacja certyfikatu SSL

Certyfikat SSL zapewnia szyfrowanie komunikacji między użytkownikiem a serwerem, co chroni przed przechwyceniem danych jak np. login i hasło podczas logowania czy dane karty kredytowej podczas wykonywania płatności.

Jak włączyć SSL w PrestaShop? Zainstaluj certyfikat SSL i włącz wymuszenie HTTPS w panelu administracyjnym PrestaShop (Ustawienia zaawansowane -> Certyfikat SSL).

Wykorzystanie modułów podnoszących bezpieczeństwo

PrestaShop oferuje wiele modułów, które pomagają zabezpieczyć sklep. Warto rozważyć ich wdrożenie. Zwróć szczególną uwagę na:

  • Moduły do ochrony przed botami – do ochrony przed spamem i atakami DDoS, takie jak np reCAPTCHA.
  • Moduły do monitorowania aktywności – narzędzia śledzące aktywność użytkowników w panelu administracyjnym pozwalają na szybkie wykrycie nieautoryzowanych działań.

Monitorowanie i audyt bezpieczeństwa

Regularne monitorowanie sklepu i przeprowadzanie audytów bezpieczeństwa pozwala na szybkie wykrycie luk i ich naprawę.

  • Analiza logów – sprawdzaj logi serwera, aby wykryć podejrzane próby logowania lub modyfikacji plików.
  • Skanowanie w poszukiwaniu złośliwego oprogramowania – używaj narzędzi takich jak Malware Scanner, aby regularnie sprawdzać sklep pod kątem niepożądanych plików.
  • Odpowiednio trudne hasło administratora – choć na końcu… wcale nie najmniej ważne.