6 règles pour sécuriser votre site de Pré-Production Prestashop
27/07/2023 | Anaïs KB | Site e-commerce
La pré-production offre un espace sécurisé pour tester et valider les changements apportés au site web. Plutôt que de risquer des incompatibilités et des erreurs dans l'environnement de production, les prestataires et les développeurs peuvent expérimenter en toute confiance dans cet espace isolé. Cela garantit que le site en production reste stable et fonctionnel pour les utilisateurs finaux.
A quoi sert un site de pré-préproduction ?
L'environnement de pré-production permet des tests exhaustifs des nouvelles fonctionnalités, des mises à jour et des corrections de bugs d'un site internet. Les développeurs peuvent s'assurer que chaque modification fonctionne correctement et n'affecte pas négativement le site en production. De plus, des tests de performance peuvent être réalisés pour évaluer la capacité du site à gérer un trafic important. Cela permet d'anticiper et de corriger tout problème de performance avant qu'il ne devienne critique en production.
Un environnement préprod isopérimètre
Pour créer un environnement de pré-production efficace, il est essentiel de disposer d'un serveur dédié ou d'un environnement virtualisé qui soit fidèle à l'infrastructure de la production, y compris dans les technologies utilisées, les modules installés, la structure du site. Cela vous garantira que les tests faits en pré-production ne soient pas si différents que le résultat que vous obtiendrez en production.
Cependant, pour des considérations économiques, le serveur de pré-production peut différer et ne pas refléter celui de production. Il faudra tenir compte de ces différences en fonction de la nature des tests effectués. Des tests de performance, par exemple, ne pourront pas être concluants sur un serveur différent.
Comment sécuriser et isoler mon site en pré-production ?
L'environnement de pré-production doit être rigoureusement isolé du réseau public. Cela signifie qu'il ne peut être accessible qu'aux personnes autorisées. Cette isolation garantit que les tests et les expérimentations ne sont pas visibles par les visiteurs du site et ne risquent pas de compromettre la sécurité des données. De plus, les tests de sécurité peuvent être effectués sans mettre en danger les informations sensibles du site en production. Voici quelques moyens d'y arriver avec le CMS Prestashop.
1. Activez le mode Maintenance
Réduisez l'accès au site avec le mode Maintenance de Prestashop qui est accessible depuis les Paramètres généraux. Ainsi, seules les personnes dont l'IP est inscrite la page de maintenance auront accès à tout le site. Cette étape permettra aussi aux moteurs de recherche de ne pas indexer votre site de pré-production.
2. Renommez le dossier administrateur
Le nom du dossier administrateur est lié à l'URL du back-office. En renommant ce dossier dans la pré-production, on réduit considérablement les risques que des tiers découvrent l'URL du back-office de production.
3. Ajoutez une couche supplémentaire de sécurité
Pour ce faire vous pouvez utiliser les fichiers .htaccess et .htpasswd. Ces fichiers permettent de restreindre l'accès à l'environnement de pré-production à des utilisateurs autorisés uniquement. En ajoutant un fichier .htaccess, qui peut être placé dans le répertoire racine de la pré-production, vous pouvez exiger une authentification pour accéder au site. N'hésitez pas à demander l'aide d'un développeur pour les mettre en place.
4. Passez les modules sensibles en mode test
Certains modules tels que ceux de paiements (Stripe, Payzen...) ou de transporteurs peuvent être paramétrés en mode test. Cela permettra de tester les paiements sans carte bancaire ou de ne pas envoyer d'ordre de retrait de colis à votre transporteur. Vous réduisez aussi les chances de manipuler les données personnelles de vos clients.
5. Anonymisez les données des clients en pré-production
Si les tests ne concernent pas certains clients en particulier, cela garantira que les prestataires n'aient pas accès à votre base de données clients. Vous pouvez soit faire appel à un développeur qui utilisera des requêtes SQL pour anonymiser les personnes, soit utiliser un module d'anonymisation spécialement conçu pour un site de préprod.
6. Ne jamais envoyer d'emails.
Changez l'option d'email dans Paramètres avancés, Email en Ne jamais envoyer d'emails. Cela évitera d'envoyer des mails de test par erreur aux clients si ceux-ci ne sont pas anonymisés.
En intégrant ces mesures de sécurité, vous assurez que seuls les membres de l'équipe de développement ou les prestataires ayant les informations d'identification appropriées peuvent accéder à l'environnement de pré-production. Cela ajoute une couche de confidentialité et de contrôle, minimisant les risques d'accès non autorisés et de potentielles atteintes à la sécurité de votre préprod.