Sécuriser son prestashop

Blog

Nous ne sommes pas spécialisés dans le commerce en ligne mais nous avons réalisé quelques sites Prestashop à la demande de certains de nos clients, comme par exemple : http://www.museeprehistoire.com/boutique-quinson/fr/ ou http://www.musee-de-salagon.com/boutique-salagon/fr/. Nous nous sommes donc naturellement intéressés aux problématiques de sécurités qui y sont liées et comment sécuriser correctement un site en Prestashop.

 

Mettre à jour son instance prestashop

Evident !? Pas tant que ça, car selon une étude EPNB de 2014, une majorité des instances Pretashop installées dans le monde ne sont pas équipées de la dernière version stable publiée (version 1.6.1.0 à l'heure où j'écris ces lignes). Et pourtant c'est bien la première chose à faire. il faut bien évidemment faire cette mise à jour sur une plateforme de test dans un premier temps, et après avoir vérifier que votre site fonctionne toujours correctement, faite la mise à jour en production.

Statistique des versions de prestashop installées dans le monde en 2014
Source : epnb.fr

Désactiver les consoles de débogage

Smarty un est moteur de template développé en PHP qui est installé sous Prestashop. Il est bien pratique lors des phases de développement de votre site, car il vous permet d'afficher certaines informations dans des pop-up.
Votre site en production n'étant par définition pas en développement, cette console doit être désactivée. Des personnes malintentionnées pourraient l'utiliser afin de connaître certaines infos privées sur votre site comme le répertoire d’installation de Prestashop, la liste des modules chargés ou des informations sensibles sur les produits.
Avec la version 1.5, il est possible de la désactiver via le back-office.

Si c'est prestashop qui le dit, alors ...

Voici quelques recommandations énoncées et écrites dans la documentation officielle de prestashop :

Changer le nom du répertoire d'administration

Les systèmes de gestion de contenu (CMS) ont très souvent un nom de répertoire pour l'administration que ne change pas d'un site à l'autre. Pour prestashop le nom par défaut du répertoire d'administration est sobrement appelé "admin". Changer le nom du répertoire va permettre d'un peu mieux le cacher aux hackers qui vont essayer des urls avec des noms de répertoires d'administrations connus pour tenter d'accéder la page d'authentification du back office.

Bloquer l'accès à vos fichiers du thème

Une solution qui peut s'appliquer dans d'autres contextes que celui de prestashop est d'ajouter un fichier .htaccess bloquant l'accès aux fichiers d'un répertoire en ajoutant ces quelques lignes :

<FilesMatch "\.tpl$">

order deny,allow

deny from all

</FilesMatch>

Vous pouvez ainsi ajouter ce fichier .htaccess dans le répertoire où se trouvent les fichiers de thèmes.

Mettre à jour les logiciels de votre serveur

Cette solution aussi vaut pour des contextes autres que ceux de prestashop, et ici aussi il est question de mise à jour. Pensez donc à mettre à jour Apache, MySql et certains paquets PHP et les autres logiciels nécessaires à l'hébergement en vous assurant de leur compatibilité avec votre site.

Conclusion

Ne négligez surtout pas l'aspect sécurité de votre site internet. Il n'a pas été question de mot de passe dans cet article, mais il est le premier obstacle contre les intrusions, donc choisissez en un composé d'au moins 8 caractères avec des lettres, majuscules/minuscules, chiffres et caractères spéciaux. Rappelons que les attaques de sites ne sont pas rares, et qu'il faut s'en prévenir.

À lire aussi

Blog

Les mises à jour de sécurité