Sécurité

Faille critique PrestaShop : le dossier /install/ peut livrer votre boutique aux hackers

Alerte sécurité PrestaShop. Plus de 200 boutiques actuellement vulnérables. Vérifiez la vôtre en 30 secondes (section dédiée plus bas). Les chercheurs en sécurité de Sansec viennent de publier une alerte : plus de 200 boutiques PrestaShop sont actuellement...

21 avril 2026 5 min de lecture 11 vues
Faille critique PrestaShop : votre dossier /install/ peut livrer votre boutique aux hackers

Les chercheurs en sécurité de Sansec viennent de publier une alerte : plus de 200 boutiques PrestaShop sont actuellement vulnérables à une prise de contrôle totale via un simple dossier oublié. Le pire ? La correction prend 2 minutes. Mais si vous ne faites rien, un attaquant peut devenir administrateur de votre boutique, voler les données de vos clients et installer des backdoors sur votre serveur.

Voici ce qu'il faut savoir et comment vous protéger.

Quelle est cette faille ?

Quand vous installez PrestaShop, un dossier /install/ (ou /install-dev/ sur les versions de développement) est créé sur votre serveur. Ce dossier contient l'assistant d'installation : connexion à la base de données, création du compte administrateur, configuration du site.

En théorie, vous devez supprimer ce dossier après l'installation. En pratique, beaucoup de marchands ne le font pas. Et PrestaShop ne le supprime pas toujours automatiquement.

Résultat : n'importe qui peut accéder à votre-boutique.com/install/ et relancer l'installation.

Ce qu'un attaquant peut faire

L'exploitation est redoutablement simple :

  • Réécrire la configuration de la base de données — L'installateur accepte des paramètres comme dbServer, dbName, dbLogin, dbPassword. L'attaquant redirige votre boutique vers sa propre base de données.
  • Créer un compte administrateur — En relançant l'étape d'installation (paramètre ?step=process), l'attaquant crée un compte admin avec ses propres identifiants.
  • Exécuter du code sur votre serveur — Une fois admin, il uploade un module malveillant. PrestaShop utilise eval() sur les fichiers d'override lors de l'installation d'un module, ce qui permet l'exécution de code arbitraire.
  • Installer des backdoors — Portes dérobées, webshells, scripts de vol de données bancaires... L'attaquant a un accès total et permanent.

Qui est concerné ?

Vous êtes potentiellement vulnérable si :

  • Vous avez installé PrestaShop manuellement (pas via un installateur automatique de votre hébergeur)
  • Vous n'avez jamais vérifié si le dossier /install/ ou /install-dev/ existe encore sur votre serveur
  • Vous avez fait une migration ou une mise à jour qui a pu recréer le dossier d'installation
  • Vous utilisez une version de développement avec le dossier /install-dev/ encore présent
  • Votre hébergeur a restauré un backup qui contenait le dossier d'installation
Toutes les versions de PrestaShop sont concernées : 1.6, 1.7, 8.x et 9.

Comment vérifier si vous êtes vulnérable (30 secondes)

Ouvrez votre navigateur et tapez :


https://votre-boutique.com/install/
https://votre-boutique.com/install-dev/

Si vous voyez l'assistant d'installation PrestaShop ou n'importe quel contenu autre qu'une erreur 404 : vous êtes vulnérable. Agissez immédiatement.

Si vous obtenez une page 404 ou une erreur "Not Found" : le dossier n'est pas accessible. Mais vérifiez quand même via FTP que le dossier n'existe pas du tout sur le serveur (il pourrait être protégé par .htaccess mais toujours présent).

Comment corriger le problème

1. Supprimer les dossiers d'installation

Connectez-vous à votre serveur via FTP (FileZilla, WinSCP) ou SSH et supprimez :

rm -rf /chemin/vers/votre-boutique/install/
rm -rf /chemin/vers/votre-boutique/install-dev/

C'est la correction principale. Sans le dossier, l'attaque est impossible.

2. Désactiver le mode debug

Vérifiez que le mode debug est désactivé en production. Dans le fichier config/defines.inc.php :

define('_PS_MODE_DEV_', false);

Le mode debug expose des informations techniques qui facilitent les attaques.

3. Vérifier qu'aucun admin inconnu n'a été créé

Dans votre back-office, allez dans Paramètres avancés > Équipe > Employés. Si vous voyez un compte que vous ne reconnaissez pas : votre boutique a peut-être déjà été compromise. Supprimez le compte immédiatement et faites un audit de sécurité complet.

4. Scanner votre boutique

Même après suppression du dossier, si celui-ci était accessible depuis un moment, un attaquant a pu déjà agir. Recherchez :

  • Des fichiers PHP inconnus dans /modules/, /override/, /upload/, /img/
  • Des modifications récentes sur des fichiers core (vérifiez les dates de modification)
  • Des comptes admin que vous n'avez pas créés
  • Des redirections suspectes (testez votre boutique depuis Google en mode incognito)

Vous n'y arrivez pas ? On s'en occupe.

Si vous n'êtes pas à l'aise avec FTP, SSH ou le scan de fichiers, ne prenez pas de risque. Nos experts PrestaShop interviennent en quelques minutes :

  • Vérification complète de votre serveur (dossiers exposés, fichiers suspects, comptes admin)
  • Suppression sécurisée des dossiers d'installation et de tout code malveillant
  • Scan anti-malware de l'ensemble de votre boutique
  • Rapport détaillé de ce qui a été trouvé et corrigé
  • Sécurisation préventive pour éviter que ça se reproduise

Pour aller plus loin : auditez la sécurité de votre PrestaShop

Cette faille n'est qu'une parmi des dizaines qui peuvent toucher votre boutique. Modules obsolètes, fichiers modifiés, permissions trop ouvertes, mots de passe faibles... Un audit de sécurité complet identifie toutes les vulnérabilités avant qu'un attaquant ne le fasse.

Questions fréquentes

Certains hébergeurs le font, d'autres non. Ne comptez pas dessus — vérifiez vous-même. Les installateurs automatiques (Softaculous, Installatron) suppriment généralement le dossier, mais les installations manuelles ne le font pas toujours.

Si le dossier n'existe pas du tout sur le serveur, vous n'êtes pas vulnérable à cette faille spécifique. Mais votre boutique peut avoir d'autres vulnérabilités. Un audit de sécurité complet est recommandé.

C'est possible. Vérifiez les comptes admin dans votre back-office, scannez les fichiers récemment modifiés et surveillez votre boutique pendant les prochains jours. En cas de doute, faites un audit de sécurité professionnel.

Oui, toutes les versions de PrestaShop qui utilisent un dossier /install/ ou /install-dev/ sont concernées. La vulnérabilité n'est pas dans le code de PrestaShop lui-même, mais dans le fait que le dossier d'installation reste accessible après le déploiement.

Ajoutez une vérification dans votre processus de déploiement. Si vous utilisez SSH, ajoutez un script post-update qui supprime automatiquement le dossier. Vous pouvez aussi bloquer l'accès via .htaccess ou la configuration de votre serveur web.

Pour aller plus loin

Vous avez le même problème ?

Décrivez votre problème, notre équipe vous répond en moins de 10 minutes avec un diagnostic gratuit.

Obtenir un diagnostic gratuit
Articles similaires
PrestaSecure : on lance notre solution de cybersécurité pour PrestaShop
08 avr. 2026
Bots, spam et testeurs de CB : 261 interventions pour protéger les boutiques en ligne
18 mars 2026
Sites piratés : analyse de 329 interventions sécurité depuis 2018
18 mars 2026
Sponsorisé
🕸️ LNKBoot — L'architecture digitale à l'ère de l'intelligence
Développement sur mesure, intégration IA, e-commerce performant, Google Ads & sécurité web. Devis sous 24h.
En savoir plus