La sécurité informatique, vaste sujet. Et en plus sur un CMS (Content Management System) ou en bon français, SGC (Système de Gestion de Contenu), qui sont les principales cibles des individus malveillants.
Cet article va aborder comment sécuriser au mieux par des actions simples votre boutique en ligne Prestashop.
- L’hébergement
- Le dossier INSTALL
- Le SSL ou HTTPS
- Le dossier Administration
- Les utilisateurs du BO (Back Office)
- Les mises à jour
- Cloudflare
L’hébergement
A l’heure actuelle tous les hébergements proposés par les plus grands sont en principe bien sécurisés. Il y va de leur survie et de leur réputation.
Il y a deux types d’hébergement, le serveur mutualisé et le serveur privé. Sur un serveur mutualisé vous êtes plusieurs sites sur la même machine, des fois plusieurs centaines. Là vous n’avez pas trop la main sur la sécurité et normalement vous êtes assez tranquille. Quant au privé, vous avez intérêt à vous y connaitre assez pour pouvoir gérer vous même la sécurité, ou à faire appel à des professionnels du secteur.
Dans les deux cas vous n’avez pas trop la main, sauf à l’installation de Prestashop sur le serveur. Certains hébergeurs proposent des installations toutes faites, surtout ne pas s’en servir. Ces versions sont pour la plupart incomplètes, mal configurées et très instables, donc à bannir.
Si vous faites l’installation vous même, c’est assez simple, il vous faut en tout premier créer votre BDD (Base de Données) ainsi que l’utilisateur qui va y accéder. Sur ce mot de passe il ne faut pas lésiner sur la difficulté, je vous conseillerai au moins force 78. C’est un mot de passe que vous ne toucherez plus jamais de votre vie alors allez-y. Pour connaitre la force de votre mot de passe vous pouvez aller sur ce site : https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
Seconde chose à faire si vous installez vous même votre Prestashop, ne jamais choisir le préfixe des tables par défaut : ps_ . Déterminez vous même le préfixe style dfv58_ , de toutes façons, là aussi vous n’aurez plus jamais à y toucher.
Le dossier INSTALL
Une fois l’installation terminée, il vous faut supprimer ce dossier afin que personne ne puisse vous supprimer votre site. C’est le seul dossier qui n’est pas sécurisé.
Surtout ne faites pas comme certains, le renommer en INSTALL00 cela ne règlera pas le problème.
De toute façon ce dossier ne vous servira plus à rien une fois votre boutique installée.
Le programme d’installation de Prestashop est assez bien fait, car vous ne pouvez pas démarrer la boutique avec ce dossier non supprimé.
Le SSL ou le HTTPS
Une fois installé, il vous faut impérativement activer le SSL sur tout le site. Pour ça connectez-vous au BO et allez dans Paramètres de la boutique–>Paramètres généraux
En tout premier vous activez le SSL pour vérifier que tout est compatible, puis vous activez le SSL sur tout le site, vous vous déconnectez du BO puis vous y revenez et le tour est joué.
Pour ceux qui ne saurait pas, le SSL sert à crypter les données entre le serveur de la boutique et le micro du visiteur. Comme ça, personne ne peut récupérer ce qui transite entre les deux, et même si il le récupère il ne pourra rien en faire.
Le dossier d’administration
A l’installation de votre boutique Prestashop, un dossier est créer du type : admin1254hyd. Si vous le rajouter à votre nom de domaine vous obtenez :https://ma-boutique.fr/admin1254hyd , je vous conseille de mettre ce lien dans vos favoris et de le noter quelque part. Sans ça vous ne pourrez pas avoir accès à votre administration.
Conseil : Tous les 12 à 18 mois pensez à modifier ce nom de dossier. Vous pouvez mettre ce que vous voulez, mais uniquement des MAJUSCULES, minuscules, chiffres, tiret (-) ou underscore (_). C’est tout, pas d’espace, pas d’accents pas de / ou * ou =.
Vous pouvez mettre : chou45_minie14 si ça vous chante, ce qui donnera : https://ma-boutique.fr/chou45_minie14
Les utilisateurs du BO (Back-Office)
Évidement, le premier utilisateur c’est vous. Donc votre adresse mail, et là aussi un mot de passe assez fort, que vous vous rappellerez facilement. Exemple : LaCaBane-845* . Maintenant la plupart des navigateurs enregistres les mots de pas, mais cela ne vous empêche pas de le noter, à côté de l’URL de votre dossier administration.
L’adresse mail utilisée n’est pas obligatoirement une adresse mail valide. Si elle n’est pas valide, c’est à dire qu’elle n’a pas été créée, cela améliore la sécurité. Inconvénient, si vous perdez votre mot de passe vous ne pourrez pas le récupérer, et vous ne pourrez plus jamais aller dans votre administration.
Sauf si vous avez été malin, et que vous avez lu cet article. Vous créer un utilisateur avec un mail actif, avec les droits Super Admin, un mot de passe assez simple, et vous le désactiver.
Le jour où vous vous retrouver coincé, vous allez dans la BDD et activez le Super Admin de rechange.
Pensez à le désactiver après avoir retrouvé votre utilisateur habituel.
Conseil : Ne pas créer trop de comptes sur votre boutique. Si vous avez besoin d’un compte pour qu’un prestataire vous dépanne, vous en créez un, puis vous le supprimer, ou vous créer un compte générique que vous activez et désactivez selon vos besoins. Ne donnez pas les droits Super Admin à tout le monde, affinez les droits, c’est facile d’en rajouter.
Les mises à jour
Sur une boutique Prestashop vous avez plusieurs types de mise à jour. Celles de Prestashop lui même, et celles des modules.
Les personnes malveillantes fouillent sans arrêt le code des CMS pour trouver des failles. Et forcément il y en a. Donc quand elles sont découvertes, dans les quelques jours qui suivent Prestashop met à disposition une mise à jour.
Il faut suivre et faire les mises à jour au fur et à mesure qu’elles se présentent. Une mise à jour installée c’est un problème de sécurité de moins.
Mais il faut faire très attention. En fonction des modules que vous avez, certaines mises à jour peuvent planter votre boutique. C’est pourquoi il faut faire les mises à jour le matin, au plus près de la sauvegarde de la nuit, si il y a un problème vous pouviez faire marche arrière pour voir où ça coince.
Si vous avez un bon prestataire, il vous aura créé une copie de votre site boutique, on appelle ça un site de DEV (développement) sur lequel on fait les tests de mises à jour. Et si c’est concluant, on passe à celui en PROD (Production).
Pour les modules c’est pareil, il faut suivre les mises à jour. C’est rare que les modules plantent un site, mais ça peut arriver. Alors on fait pareil que pour Prestashop, le matin, et pas les deux le même jour, on ne sait jamais.
Cloudflare
Et enfin un outil gratuit qui veille à votre place sur la plupart des attaques malveillantes. Il n’y a rien à installer sur votre boutique, cela se fait au niveau des paramètres DNS.
Vous enlevez les paramètres de votre hébergeur, et vous mettez les paramètres Cloudlfare.
Faites le faire par votre webmaster, il sera plus a même de le paramétrer que vous.
Non content d’améliorer la sécurité de votre boutique Prestashop, en plus elle sera plus rapide, et donc mieux classée dans les moteurs de recherche.
Dans Cloudflare vous avez la possibilité d’interdire l’accès à votre site par certains pays. Loin de moi de jeter l’opprobre sur certains pays, mais on sait d’où viennent la plupart des attaques.
On peut aussi bloquer les Spiders ou autres Crawlers qui viennent scruter nos pages pour leurs statistiques, il y en a des dizaines qui passent tous jours.
Certains comme Google, Bing, Yahoo, Orange, etc . . . sont impératifs, mais d’autres comme Ahrefs ou Semrush ne vous sont d’aucune utilité.
Tout cela peut être bloqué par Cloudflare.
Conclusion sur la sécurité de votre boutique en ligne Prestashop
Voila en quelques lignes comment améliorer la sécurité de votre boutique en ligne Prestashop.
Cet article n’a pas la prétention d’être un rempart ultime aux menaces, mais élaguera déjà pas mal de petits plaisantins. Les gros eux, seront occupés sur des gros sites institutionnels et ne viendront pas vous embêter.
Des questions ?
