Sécuriser l'accès d'un site Prestashop
26/07/2022 | Anaïs KB | Prestashop
On néglige trop souvent les accès d'un site et pourtant cela peut-être une source d'ennui. Un mot de passe écrit sur un post-it vu par une personne malveillante, un accès personnel donné à un tiers qui aspire vos clients... Voici quelques astuces à appliquer pour faire un pas vers la sécurisation de votre site Prestashop.
Retenir vos mots de passe
Astuce n°1 : Ne jamais écrire vos mots de passe en clair sur un papier en pleine visibilité surtout s’ils sont accompagnés de l’identifiant et du nom du site. "Mais comment apprendre tous mes mots de passe ?" allez-vous me demander. Lisez la suite !
Astuce n°2 : Pour retenir tous vos mots de passes et identifiants, il existe des logiciels ou solutions en ligne, des coffres-forts de mot de passe. Il vous suffira de taper un seul mot de passe pour y entrer. En exemple je vous donne celui que j'utilise et qui est hors-ligne : Keepass. Si vous utilisez cette solution, il convient tout de même d’en faire une sauvegarde en dehors de votre ordinateur car s'il venait à ne plus marcher, vos mots de passe seraient perdus.
Astuce n°3 : Avec l'astuce n°2, vous n'aurez plus qu'un seul mot de passe à retenir. Par exemple, Keepass vous fournit une feuille pour l'inscrire. Le mieux est d’y inscrire le moyen mnémotechnique qui vous fera penser au mot de passe et non le mot de passe directement. On vous a tous appris à retenir l'ordre des planètes avec une phrase «Mon Vieux Toutou Médor Joue Sur Un Nuage», et bien il faudrait faire la même chose avec votre mot de passe principal.
- Prenez une phrase que vous retiendrez : Mon père est un forgeron, son épée est la plus belle de toute.
- Choisissez quelles lettres de chaque mot vous souhaitez retenir, ici la seconde de chaque mot : Mon père est un forgeron, son épée est la plus belle de toutes.
- Gardez la ponctuation pour les caractères spéciaux : Mon père est un forgeron, son épée est la plus belle de toutes.
- Ajoutez-y un chiffre : Mon père est 1 forgeron, son épée est la plus belle 2 toutes.
- Une majuscule quelque part et le tour est joué : oès1F,opsale2o.
Voilà un mot de passe correct qui peut faire office de clé à votre coffre-fort.
Accès aux sites en back-office
Chaque site Prestashop que ce soit sur un environnement de production ou préproduction contient un ou plusieurs utilisateurs.
Astuce n°1 : Les identifiants Prestashop sont des e-mails. Si vous vous méfiez de la concurrence ou de personnes malveillantes, il est conseillé de créer votre compte avec un mail autre que celui communiqué à vos clients et sur votre site, un mail non divulgué. Ainsi vous mettez une difficulté de plus aux personnes tentant d'accéder à votre back-office s'ils en connaissent l'URL. Vous pourriez être tenté de mettre un faux mail car cela est possible avec Prestashop, mais vous ne recevriez pas les notifications. Voire même il ne serait pas possible de faire une demande de mot de passe oublié.
Astuce n°2 : Les mots de passe ne doivent pas avoir de rapport avec vos données personnelles, ni professionnelles. Interdit les "Fanny1990" "Comptabilite". Cela évitera aussi à n’importe qui de les deviner. Si vous avez un moyen mnémotechnique ou une autre méthode pour retenir vos mots de passe, il convient de ne pas en parler surtout si la méthode est imprimé et visible dans les bureaux.
Votre accès est personnel
Il ne faut jamais se connecter avec les identifiants d’un autre utilisateur que le sien et vice-versa, ne donnez pas vos accès personnels.
Si des personnes extérieures à l’entreprise interviennent, il convient de leur créer un accès temporaire avec seulement les permissions dont ils ont besoin. Vous désactiverez ensuite ces accès une fois la personne intervenue. Il faut éviter de donner un accès Administrateur à un prestataire extérieur. Du moins évitez de donner des permissions sur les clients et commandes si le prestataire n'en a pas besoin. La grande majorité des prestataires sont bienveillants mais il est plus prudent de ne pas partager ce type de données pour ne pas se les faire voler. Il est aussi de votre devoir de respecter la RGPD et de vérifier qui est en possession de vos donnés clients. Moins vous partagez ces données, plus vous les contrôlez.
1/ Je vous conseille de créer 2 ou 3 profils selon le prestataire ("Prestataire SEO", "Prestataire Dev"...) dans Paramètres avancés -> Equipe -> Profils.
2/ Ensuite, donnez les permissions de base à ces profils. Le prestataire développeur va avoir accès à l'affichage de la plupart des éléments (produits, attributs, catégories, caractéristiques...) sauf la partie clients et commandes. Ne lui donnez pas l'ajout, la modification ou la suppression des éléments s'il n'en a pas besoin. Il va aussi avoir le droit à certaines permissions de la partie modules :
Mais il n'aura pas accès à tous les modules tant que vous ne les cochez pas dans la partie de droite.
3/ Enfin, vous pouvez créer l'"Employé" et lui attribuer le profil correspondant. Si mon prestataire est le développeur de Colissimo, alors je vais cochez toutes les cases qui concernent le module Colissimo ainsi que l'affichage des transporteurs. Après son intervention, je désactive l'employé et je décoche les cases des modules.
Comment donner les accès aux prestataires externes
Au risque de me répéter, ne jamais donner vos accès personnels surtout s'ils sont administrateur et que ce sont les seuls que vous ayez.
Créez un accès et un profil spécial pour la personne qui intervient avec seulement les droits dont elle a besoin et qu’elle réclame pour travailler.
Si l’intervention se fait sur l’environnement de production, il faut rappeler à la personne que vous souhaitez être prévenu avant toute action sur celui-ci. Les accès à ces personnes devraient de toute façon être désactivés sur l’environnement de production pour qu’il n’y ait pas de problème, une fois l'intervention terminée.
Pour leur donner les identifiants, le mieux est d’écrire l’identifiant et l’URL sur un canal et le mot de passe sur un canal différent. Ainsi si le premier message est intercepté par une tierce personne, les informations sont incomplètes.
Exemples :
- j’envoie l’URL et identifiant avec mon mail et le mot de passe par sms
- j’envoie l’URL et identifiant avec un premier mail et le mot de passe avec un deuxième
Les conséquences d'accès non sécurisés
Voici quelques unes des conséquences qui peuvent survenir si ces règles ne sont pas respectées :
- une personne non formée à une fonctionnalité s’en sert et fait des erreurs
- une personne malveillante interne ou externe à l’entreprise qui réalise des actions malveillantes ou aspire les données clients
- des logs erronés car les personnes n’utilisent pas leur propre compte donc débugage de site plus difficile et plus long à réaliser
- être accusé d’avoir effectué une action car votre identifiant l’indique alors que ce n’est pas vous
L’entreprise est responsable en cas de fuite de données personnelles concernant les clients. Cela découle de la RGPD où les sanctions peuvent être sévères pour les entreprises.
Un accès restreint sur le dossier administrateur
Pour encore plus de sécurité, vous pouvez appliquer une restriction de plus à votre dossier administrateur Prestashop. Pour cela, vous pouvez mettre un .htaccess avec mot de passe. Ainsi le back-office du site sera protégé doublement.
Verrouiller votre ordinateur
Lorsque vous n’êtes plus devant votre ordinateur mais que vos logiciels ou sites sont ouverts, vous exposez l’entreprise à des risques (exemple : un client qui entre et regarde les achats de son concurrent). Un simple raccourci verrouillera votre ordinateur afin que personne ne puisse l’utiliser en votre absence : touche Windows + L sur Windows et Contrôle + Commande + Q sur Mac .
Tous ces conseils vont vous paraître évidents, pourtant beaucoup d'entre vous les oublient. Ces astuces s'appliquent à un site Prestashop mais certaines iront tout aussi bien sur un autre CMS.