La sécurité des boutiques en ligne est d’une importance capitale, car les clients fournissent leurs informations personnelles. En effet, ils partagent les détails de leur carte de crédit, leurs adresses, leurs numéros de téléphone, etc.
Si votre e-commerce présente des failles, il est favorable aux attaques. Cette vulnérabilité est un gros risque pour votre réputation. Surtout si les attaquants s’emparent de vos données et de celles vos clients. La sécurisation de votre site web fait partie du marketing de votre boutique au même titre que le référencement.
Dans cet article, nous vous donnons 10 conseils pour sécuriser votre boutique en ligne Prestashop. Ces conseils peuvent être mis en place dès la création de votre site Prestashop, ou a posteriori.
1. Utilisation de la version la plus récente du CMS
La dernière version d’une application ou d’une plateforme est toujours la plus stable et sécurisée. Lorsque les développeurs publient des nouvelles versions, cela concerne très souvent la sécurité :
- audit de sécurité globale : vérification des potentiels attaques, des codes sources, vérification des dossiers, etc.
- résolution des failles de sécurité : installation de nouveaux modules de sécurité
- éviter les injections SQL : le SQL est un type d’attaque qui permet à l’attaquant d’insérer des instructions malveillantes dans des données cryptées.
- Vérification du script PHP : le PHP est un langage de script qui prend en charge une grande quantité de données.
Ils offrent des solutions régulières pour optimiser la sécurité de la navigation. Ainsi ils réduisent la vulnérabilité du CMS au maximum.
Ainsi, chaque fois qu’une nouvelle version a été publiée, vérifiez ce qui a été ajouté ou modifié dans changelog. Le changelog est une liste dans laquelle, vous retrouvez tous les changements opérés lors d’une mise à jour. Presque toutes les mises à jour comportent des améliorations de sécurité. Donc, n’hésitez pas à mettre votre CMS à niveau lors de la sortie des dernières MAJ.
De plus, quand un fix concernant la sécurité, est indiqué, c’est un bon indice pour un attaquant : cela lui facilite le piratage et l’attaque de votre site web. Les sites spécialisés partagent régulièrement les failles de sécurité : « Telle faille découverte qui permet de faire ça grâce à tel fichier ! ». Ne mâchez pas le travail des pirates, soyez attentif.
À lire aussi : Comment envoyer des identifiants et mots de passe en toute sécurité ? Conseils et outils
2. Sécurisation avec Certificat SSL et le HTTPS
Le certificat SSL créé un canal de sécurité entre le navigateur web et le serveur web. Par conséquent, les données entre le client et le serveur sont cryptées et vice versa. Ainsi, l’adresse URL passe de HTTP (Hyper Text Transfer Protocol) à HTTPS. Le « S » signifie « Secured », en français « Sécurisé ». Un site https, annonce que les données échangées entre le site internet et l’internaute sont chiffrées. Ainsi, elles sont protégées et ne peuvent pas être espionnées ni modifiées.
C’est l’une des mesures de sécurité les plus courantes, et chaque site web doit en être équipé.
Beaucoup d’internautes ne finaliseront pas d’achat, si le site web n’a pas cette certification. Le cadenas à gauche de l’adresse du site donne l’information rapidement au client. Il serait dommage de perdre des conversions, surtout que votre image est aussi touchée. Pour les prospects, votre boutique n’est pas un endroit sécurisé.
Sachez, que Google prend en compte ces certificats pour le référencement. Un Site non sécurisé n’aura pas sa place dans les premiers résultats de recherches Google. Un point doublement important pour la sécurité et votre visibilité aussi.
À lire aussi : Certificat SSL : comment choisir ?
3. Création du mot de passe administrateur
Le mot de passe de l’administrateur doit être long et complexe. Pour qu’un mot de passe possède une bonne protection, il faut qu’il ait :
- majuscules
- minuscules
- chiffres
- Un ou plusieurs caractères spéciaux (& – ! – @ – . – ? – etc.).
Les mots de passe trop simples comme « password », « azerty », « abcdef », etc sont à proscrire. Ils sont facilement accessibles pour les professionnels du piratage.
Toutefois, choisissez un mot de passe complexe dont vous vous souviendrez malgré tout pour ne pas le réinitialiser fréquemment.
À lire aussi : 8 conseils pour sécuriser vos mots de passe
4. Attention aux autres comptes et mots de passe associés
Lorsque vous créez une boutique Prestashop, vous créez des mots de passe et des noms d’utilisateur pour diverses choses :
- le compte FTP,
- le cPanel,
- l’administrateur de prestashop,
- les autres utilisateurs
- la base de données.
Les noms d’utilisateurs et les mots de passe doivent être différents à chaque fois. Si l’une de vos barrières de sécurité a été passée par un pirate, il aura accès à toutes les autres, si vous avez les mêmes identifiants.
Pour ces mots de passe, dont vous n’aurez pas besoin au quotidien, vous pouvez utiliser des générateurs comme celui que propose Norton.
5. Définition précise du fichier .htaccess
Le fichier .htaccess est un fichier pour les serveurs web Apache. Il contrôle l’accès au répertoire/dossier à l’intérieur duquel il se trouve ainsi que tous ses sous-répertoires.
Avec l’aide du .htaccess, vous pouvez mettre en place des mesures de sécurité :
- Verrouillage de l’accès au panneau d’administration (liste blanche des IP qui donne accès au back-end du magasin)
- Verrouillage des fichiers de templates, afin qu’ils ne soient pas accessibles
- Prévention de l’accès direct à certains dossiers
Le fichier .htaccess peut être employé de nombreuses manières différentes. Néanmoins, il est recommandé de le manipuler, uniquement, si vous avez suffisamment d’expérience.
Ou alors, de laisser la gestion à un développeur expert dans ce genre de fichiers. Si vous avez besoin d’un professionnel pour accéder au fichier .htaccess, vous pouvez faire appel à un Freelance Codeur.com !
6. Mise en place d’un système de sauvegarde
La sauvegarde consiste essentiellement à faire une copie de vos paramètres, de votre base de données, de vos dossiers et le contenu de votre site web. Ces sauvegardes sont très utiles si :
- Votre site internet tombe en panne
- Votre site web est piraté
- Votre boutique en ligne a un problème qui nécessite une restauration
La sauvegarde est une assurance de pouvoir récupérer facilement toutes vos informations et données en cas de problème.
Vous pouvez sauvegarder votre boutique par vous-même ou laisser cette tâche à votre hébergeur. La plupart des plans d’hébergement comprennent un service de sauvegarde hebdomadaire. Cependant, vous pouvez demander ou réaliser vous-même des sauvegardes supplémentaires et plus fréquentes.
7. Utilisation des cookies
Vous pouvez activer ou désactiver l’utilisation des cookies ; il vous suffit de vous connecter à votre back office (panneau de configuration).
Vous allez dans Administration > Préférences. Vous pouvez activer l’option « Vérifier l’adresse IP sur le cookie ». De cette façon, Prestashop vérifiera si l’adresse IP des visiteurs correspond à celle du cookie de son navigateur. Cela permet de détecter les fraudeurs et de stopper des tentatives indésirables de connexion à la zone d’administration.
Vous devez également avertir les visiteurs que vous utilisez des cookies pour stocker leurs informations. Il existe des modules qui peuvent vous aider pour ce type de notification. La loi est très claire concernant les cookies et l’utilisation des données utilisateurs. Vous devez être très rigoureux avec ces paramètres.
À lire aussi : 6 outils pour demander le consentement aux cookies
8. Sécurisation du front office
Prestashop contient une fonction par défaut qui peut être activée dans vos paramètres :
Allez dans vos « Préférences » puis « Général ». Ensuite, cliquez sur « Augmenter la sécurité du Front Office » – réglez-la sur « oui ».
De cette manière, chaque session de client reçoit une URL unique. Ainsi, les informations que le client a ajoutées sont sécurisées. Elles ne peuvent pas être utilisées dans un autre navigateur ou ordinateur.
9. Vérification de vos Plugins et thèmes
Soyez toujours attentif à ce que vous ajoutez à votre boutique. Assurez-vous que le plugin ou le thème soit approuvé et vérifié par les développeurs de la plateforme. Ensuite, vous pouvez le télécharger et l’installer sans aucun problème.
Notez que tous les thèmes et modules de PrestaShop sont approuvés, vous pouvez donc les utiliser en toute sécurité.
L’approbation concerne surtout les plugins ou thèmes que vous pourriez télécharger sur d’autres plateformes. Certains peuvent être infectés par des logiciels malveillants. C’est pourquoi nous vous conseillons de demander leur vérification en amont par des professionnels de Prestashop.
Sur la plateforme Joomla!, il est recommandé de sécuriser ses plugins… On vous explique comment ici.
10. Utilisation de Plugins de sécurité
Il existe de nombreux plugins qui vous aideront à améliorer la protection de votre boutique PrestaShop, en voici quelques-uns :
- Protect My Shop : Ce module développé par LIBRASOFT permet de paramétrer dans le back office 9 scripts de protections différents.
- reCAPTCHA : Ce module ajoute le captcha à votre boutique.
- Block Bots : Bloquez l’accès à votre boutique à certains robots ou utilisateurs indésirables en créant des blocages par adresse IP, par pays ou par user-agent.
Votre boutique en ligne est comme un magasin, que vous devez la protéger contre les fraudes, les pirates informatiques, les voleurs et divers accidents.
Notre astuce
Pour toutes ces raisons, mettez bien en place des mesures de sécurité appropriées. De plus, veillez à utiliser des ressources supplémentaires comme des plugins et des plateformes pour améliorer la sécurité.
Faites appel à un développeur Prestashop freelance pour renforcer la sécurité de votre boutique en déposant une annonce sur Codeur.com.
Les conseils que nous vous avons donnés sont évidents pour certains. Néanmoins, pensez à bien maximiser vos chances en termes de sécurité. Il vaut mieux trop, que pas assez. Les pirates sont très affûtés, vous devez être très vigilant.
