La sécurité informatique, vaste sujet. Et d’autant plus sensible quand on parle d’un CMS (système de gestion de contenu) comme PrestaShop, qui fait partie des principales cibles des individus malveillants. Votre boutique contient les données de vos clients, vos coordonnées bancaires, votre catalogue — une mine d’or pour qui veut en abuser.
La bonne nouvelle, c’est qu’avec quelques actions simples et méthodiques, vous pouvez considérablement réduire les risques. Cet article passe en revue les 7 points essentiels à vérifier et à mettre en place sur votre boutique PrestaShop.
Il existe deux grandes familles d’hébergement : le serveur mutualisé (vous partagez la machine avec d’autres sites) et le serveur privé (vous êtes seul sur votre machine). Dans les deux cas, la sécurité au niveau du serveur est gérée par votre hébergeur — choisissez-en un réputé, c’est une décision que vous ne regretterez pas.
En revanche, lors de l’installation de PrestaShop, deux points sont entièrement entre vos mains :
Le mot de passe de votre base de données — C’est le coffre-fort qui contient toutes les données de votre boutique. Utilisez un mot de passe d’une force minimale de 78 bits (site de référence : ssi.gouv.fr). Vous ne le retaperez jamais, alors ne lésinez pas.
Le préfixe des tables — Ne jamais laisser le préfixe par défaut ps_. Choisissez quelque chose d’aléatoire comme dfv58_. C’est une barrière supplémentaire contre les injections SQL automatisées.
Les installations automatiques proposées par les hébergeurs sont à éviter absolument : versions incomplètes, mal configurées, sources de problèmes. Faites-le faire par un professionnel ou installez vous-même en suivant la procédure officielle.
Une fois votre boutique installée, le dossier INSTALL doit être supprimé immédiatement du serveur. Ce dossier est la seule porte d’entrée non sécurisée de PrestaShop : quiconque y accède pourrait relancer l’installation et effacer entièrement votre boutique.
PrestaShop vous impose d’ailleurs cette suppression avant de pouvoir démarrer votre boutique — c’est une sécurité intégrée. Malgré tout, certains négligent cette étape ou, pire encore, renomment simplement le dossier en INSTALL00. Cela ne protège absolument rien — le dossier reste accessible et exploitable.
La règle est simple : suppression définitive, sans exception.
Le SSL — que vous reconnaissez au petit cadenas dans la barre de navigation et au préfixe HTTPS — est la technologie qui chiffre toutes les données échangées entre votre boutique et le navigateur de vos clients. Sans lui, les informations de carte bancaire, adresses, mots de passe transitent en clair sur le réseau et peuvent être interceptées.
Pour l’activer dans PrestaShop : connectez-vous à votre Back Office, rendez-vous dans Paramètres de la boutique → Paramètres généraux, activez d’abord le SSL pour vérifier la compatibilité, puis activez-le sur l’ensemble du site. Déconnectez-vous puis reconnectez-vous pour valider.
Au-delà de la sécurité, le HTTPS est aujourd’hui un critère de référencement Google. Une boutique sans HTTPS est pénalisée dans les résultats de recherche — c’est donc doublement indispensable.
À l’installation, PrestaShop crée un dossier d’accès à votre Back Office avec un nom aléatoire du type admin1254hyd. Votre URL d’administration ressemblera donc à https://ma-boutique.fr/admin1254hyd. Notez-la précieusement et ajoutez-la à vos favoris — sans elle, impossible d’accéder à votre boutique.
Recommandation : tous les 12 à 18 mois, renommez ce dossier avec un nom de votre choix (lettres, chiffres, tirets, underscores uniquement — pas d’espaces, pas d’accents, pas de caractères spéciaux). C’est une mesure simple qui coupe court à de nombreuses tentatives d’intrusion automatisées.
Votre compte principal doit être protégé par un mot de passe solide, mémorisable mais difficile à deviner. Exemple : LaCaBane-845* — un mix de majuscules, minuscules, chiffres et caractère spécial.
Astuce de sécurité avancée : Créez un second compte avec les droits Super Admin et une adresse mail active, puis désactivez-le. Si un jour vous perdez l’accès à votre compte principal, vous pourrez réactiver ce compte de secours depuis votre base de données. Pensez à le désactiver de nouveau une fois le problème résolu.
Règles à respecter pour les comptes tiers : Ne créez des comptes prestataires que quand c’est nécessaire, et supprimez-les dès la fin de l’intervention. Ne donnez jamais les droits Super Admin par défaut — affinez les permissions au strict minimum nécessaire. Moins il y a de comptes actifs, moins il y a de portes d’entrée potentielles.
Les hackers passent leur temps à analyser le code des CMS pour identifier des failles. Quand une faille est découverte, PrestaShop publie un correctif en quelques jours. Une mise à jour installée = une faille de sécurité fermée. Ne pas faire ses mises à jour, c’est laisser une fenêtre ouverte.
Deux types de mises à jour sont à surveiller : celles de PrestaShop lui-même et celles de vos modules. Les deux sont importantes.
La bonne pratique : effectuez les mises à jour le matin, juste après la sauvegarde automatique nocturne. En cas de problème, vous pouvez revenir en arrière rapidement. Ne faites pas la mise à jour de PrestaShop et d’un module le même jour — si quelque chose plante, vous saurez immédiatement d’où vient le problème.
Conseil professionnel : un bon prestataire vous aura mis en place un site de développement (site DEV), copie exacte de votre boutique en production. Les mises à jour sont testées sur le DEV avant d’être appliquées sur votre vrai site. C’est la méthode la plus sûre.
Cloudflare est un service gratuit qui se place entre votre boutique et internet, et qui filtre automatiquement la grande majorité des attaques malveillantes avant même qu’elles n’atteignent votre serveur. Il n’y a rien à installer sur votre boutique : la configuration se fait uniquement au niveau de vos paramètres DNS, chez votre gestionnaire de domaine.
Les bénéfices sont multiples :
Protection contre les attaques — Cloudflare bloque automatiquement les tentatives d’intrusion, les attaques par déni de service (DDoS) et les robots malveillants, 24h/24.
Blocage géographique — Vous pouvez interdire l’accès à votre site depuis des pays d’où proviennent la grande majorité des attaques. Une mesure radicalement efficace sans impacter vos clients français.
Filtrage des robots d’exploration — Des dizaines de crawlers (robots qui analysent vos pages) visitent votre site chaque jour pour alimenter des outils comme Ahrefs ou SEMrush. Cloudflare vous permet de bloquer ceux qui ne vous sont d’aucune utilité, tout en laissant passer Google, Bing et les moteurs indispensables à votre référencement.
Bonus : Cloudflare améliore aussi la vitesse de chargement de votre boutique grâce à la mise en cache de vos pages — un facteur positif pour votre positionnement Google. Faites configurer Cloudflare par votre webmaster pour un paramétrage optimal.
Ces 7 points couvrent l’essentiel de ce que vous pouvez faire pour sécuriser efficacement votre boutique PrestaShop. Aucun n’est insurmontable, certains ne prennent que quelques minutes. Ensemble, ils constituent un rempart solide contre la grande majorité des menaces auxquelles vous pouvez être exposé.
✅ Hébergement fiable + installation manuelle (pas automatique)
✅ Mot de passe BDD fort + préfixe de tables personnalisé
✅ Dossier INSTALL supprimé après installation
✅ SSL / HTTPS activé sur tout le site
✅ Dossier admin renommé tous les 12 à 18 mois
✅ Comptes utilisateurs limités, droits affinés
✅ Mises à jour régulières de PrestaShop et des modules
✅ Cloudflare configuré sur vos DNS
Ces mesures n’offrent pas une protection absolue contre des attaques de grande envergure — mais elles vous mettront à l’abri des menaces les plus courantes et décourageront les tentatives d’intrusion automatisées.
Oui, et c’est même un mythe dangereux de croire le contraire. Les petites boutiques sont ciblées précisément parce qu’elles sont souvent moins bien protégées. La plupart des attaques sont automatisées : des robots parcourent internet en masse à la recherche de failles connues, sans distinction de taille. Votre boutique encaisse des paiements et contient des données clients — c’est suffisant pour intéresser des individus malveillants.
Oui, la version gratuite de Cloudflare est tout à fait suffisante pour la grande majorité des boutiques PrestaShop. Elle inclut la protection anti-DDoS, le firewall de base, la mise en cache et le blocage géographique. Des fonctionnalités avancées sont disponibles dans les versions payantes, mais elles concernent en général des boutiques à très fort trafic ou des besoins de sécurité très spécifiques.
Dans ce cas, agissez vite : passez votre boutique en mode maintenance pour protéger vos clients, contactez immédiatement votre hébergeur qui pourra isoler le problème au niveau serveur, et faites appel à un professionnel pour analyser les fichiers et la base de données. Changez tous vos mots de passe (BO, FTP, base de données) depuis un appareil sain. Si vous avez une sauvegarde récente propre, une restauration est souvent la solution la plus rapide.
Idéalement, une sauvegarde automatique quotidienne (la nuit, quand le trafic est faible) est le minimum recommandé pour une boutique active. Conservez au moins 7 jours de sauvegardes glissantes. Votre hébergeur propose généralement ce service — vérifiez qu’il est bien activé et testez ponctuellement la restauration pour vous assurer que vos sauvegardes sont exploitables.
Oui, c’est une partie intégrante de nos prestations. Que ce soit lors de la création de votre boutique PrestaShop ou dans le cadre d’une TMA (maintenance et mises à jour), nous vérifions et mettons en place l’ensemble des points abordés dans cet article. Nous pouvons également réaliser un audit de sécurité de votre boutique existante et vous remettre un plan d’action priorisé. Contactez-nous pour en discuter.
Un audit de sécurité de votre boutique PrestaShop vous permet d’identifier précisément les failles à corriger en priorité. Nous analysons votre configuration, vos modules, vos accès et votre hébergement, puis nous vous remettons un plan d’action clair et priorisé.
Vous souhaitez en savoir plus sur nos prestations ? Découvrez notre offre boutique en ligne.
