Introduction
PrestaShop est une solution CMS e-commerce open source populaire utilisée par plus de 300 000 boutiques en ligne dans le monde. Il offre un panneau d’administration et une interface frontend riches en fonctionnalités pour configurer et gérer facilement une boutique en ligne.
Cependant, comme pour toute autre application web, il est crucial de mettre en place des mesures de sécurité adéquates. Une boutique compromise peut entraîner des dommages de réputation, des pertes financières et plus encore.
Ce guide vous accompagne dans un processus étape par étape pour installer PrestaShop et le sécuriser en suivant les meilleures pratiques de sécurité.
À la fin de ce guide, vous disposerez d’une boutique PrestaShop installée et prête à être utilisée en toute sécurité pour gérer des commandes réelles.
Configuration requise pour le serveur
Avant d’installer PrestaShop, assurez-vous que votre serveur web répond aux exigences minimales :
- PHP 7.4 ou supérieur (8.0 recommandé)
- Extensions PHP requises : PDO MySQL, cURL, GD, OpenSSL, Mbstring, Tokenizer, JSON, XML, Zip
- MySQL 5.6 ou supérieur (ou toute base de données équivalente)
- Serveur web comme Apache ou Nginx
- Minimum 512 Mo de RAM pour le fonctionnement du magasin
De plus, certains modules PrestaShop peuvent avoir des exigences techniques plus élevées. Consultez la documentation des modules pour plus de détails.
Respecter ces exigences garantit le bon fonctionnement de votre boutique sans problèmes techniques.
Télécharger et extraire PrestaShop
Tout d’abord, récupérons les fichiers PrestaShop sur votre serveur :
- Téléchargez la dernière version de PrestaShop sur prestashop.com
- Extrayez l’archive zip sur votre serveur web à l’emplacement souhaité Exemple :
/var/www/html/prestashop
- L’extraction donne un dossier comme “prestashop” contenant tous les fichiers PrestaShop
- Rendez le dossier prestashop et ses sous-dossiers accessibles en écriture
$ chmod 755 -R /var/www/html/prestashop
Cela couvre le téléchargement et le placement des fichiers PrestaShop pour l’installation.
Configuration de la base de données
PrestaShop utilise MySQL/MariaDB pour stocker toutes les données du magasin.
Configurez une nouvelle base de données et un utilisateur spécifiquement pour PrestaShop :
- Connectez-vous à MySQL
- Créez une base de données pour Prestashop
mysql> CREATE DATABASE prestashop;
- Créez un utilisateur MySQL pour Prestashop
mysql> CREATEUSER'prestashopuser'@'localhost' IDENTIFIED BY'DBp4ssw0rd';
- Accordez les autorisations de base de données à l’utilisateur
mysql> GRANTALL PRIVILEGES ON prestashop.*TO'prestashopuser'@'localhost';
Cela prépare une base de données que PrestaShop utilisera.
Notez le nom de la base de données, les informations d’identification de l’utilisateur et d’autres détails comme le nom d’hôte – car ils seront nécessaires lors de l’installation de PrestaShop.
Avec les fichiers téléchargés et la base de données prête, passons à l’installation réelle de PrestaShop.
Installation de PrestaShop
L’installateur de PrestaShop vous guide étape par étape dans le processus d’installation rapide :
- Ouvrez votre navigateur web et accédez au dossier PrestaShop
- Exemple d’URL : http://votredomaine.com/prestashop
- Sélection de la langue :
- Choisissez la langue pour le processus d’installation
- Contrat de licence
- Lisez et acceptez les conditions de licence open source
- Vérification de compatibilité du système
- L’installateur vérifie la compatibilité du serveur
- Affiche les paramètres PHP et les paramètres requis
- Assurez-vous que toutes les conditions requises sont remplies
- Informations sur la boutique Entrez le nom de la boutique, le pays, le fuseau horaire, etc.
- Configuration de la base de données
- Entrez les détails de la base de données configurée précédemment
- L’installateur se connecte à la base de données
- Installation du magasin
- L’installateur crée les tables de base de données
- Stocke les données par défaut du magasin
- Magasin prêt
- Le site frontend et le panneau d’administration sont prêts !
Avec la configuration terminée, accédons au panneau d’administration pour les tâches de première connexion.
Configuration du compte administrateur
Une fois installé, accédez au panneau d’administration PrestaShop :
http://votredomaine.com/prestashop/admin786elw8k
Saisissez les identifiants créés lors de l’installation.
Puis, procédez à la configuration du compte administrateur :
- Choisissez un mot de passe Définissez un mot de passe fort pour le compte admin
- Désactivez les offres partenaires Décochez la case pour éviter le contenu promotionnel
Vous avez maintenant accès au tableau de bord PrestaShop.
Avant de lancer votre boutique en ligne, la prochaine étape consiste à sécuriser correctement votre installation PrestaShop.
Sécurisation de PrestaShop pour une utilisation en production
Par défaut, PrestaShop fonctionne bien mais n’est pas prêt pour un accès public immédiat.
Certaines mesures de sécurité doivent être prises pour un site de production gérant des données et transactions utilisateur réelles.
Voici les conseils clés pour sécuriser votre boutique PrestaShop :
Désactiver le mode Démo
Si activé, désactivez le mode Démo dans les paramètres avancés :
Accédez à : Préférences > Général > Activer le mode démo du magasin
Réglez sur : Non
Le mode démo est destiné aux tests de modules et contourne les vérifications de sécurité normales. Gardez-le désactivé pour un site en direct.
Définir le dossier Admin
Le dossier admin par défaut admin786elw8k
est devinable publiquement.
Changez-le par une séquence aléatoire difficile à deviner :
Accédez à : Préférences > Général > Définir le dossier Admin
Exemple : ab5dz931tz
Cela obscurcit l’accès à votre panneau d’administration.
Supprimer le dossier Install
Supprimez le dossier d’installation de votre serveur :
/var/www/html/prestashop/install
Cela supprime les vestiges du processus d’installation, empêchant toute utilisation malveillante.
Désactiver les pages d’erreur conviviales
En mode production, désactivez les pages d’erreur conviviales destinées au développement :
Accédez à : Préférences > Général > Désactiver les erreurs conviviales
Réglez Rapport d'erreurs sur : Non
Afficher les erreurs sur : Non
Cela empêche d’exposer des messages d’erreur sensibles aux utilisateurs publics.
Utiliser HTTPS
Configurez PrestaShop pour un accès HTTPS uniquement :
- Obtenez un certificat SSL
- Activez HTTPS sur votre serveur web
- Forcez SSL sur toutes les pages PrestaShop
L’application du HTTPS garantit que les formulaires de connexion et les paiements sont chiffrés pour la sécurité contre les attaques.
Mettre à jour la version de PHP
Utilisez PHP 7.4+ qui bénéficie encore de correctifs de sécurité :
PHP 7.2 atteindra sa fin de vie en novembre 2023
Effectuez une mise à niveau vers une version prise en charge de PHP comme 7.4 ou 8.0
Les dernières versions de PHP contiennent des correctifs de sécurité critiques et de meilleures performances.
Mot de passe Admin fort
Assurez-vous de définir un mot de passe très fort pour le compte admin.
14+ caractères aléatoires contenant des lettres majuscules/minuscules, des chiffres et des symboles.
Les mots de passe admin faibles sont ciblés dans des attaques automatisées d’injection d’identifiants.
Utiliser des Captchas
Activez et utilisez des captchas dans les zones sensibles aux attaques automatisées :
- Page de connexion
- Page mot de passe oublié
- Formulaire de contact
Les captchas bloquent les bots automatisés tentant de se connecter frauduleusement, de spammer des formulaires de contact, etc.
Mettre à jour régulièrement
Gardez PrestaShop et les modules installés à jour :
Accédez à : Paramètres avancés > Modules > Modules et services
Vérifiez et installez les mises à niveau disponibles
Les mises à jour contiennent des correctifs de sécurité vitaux et des améliorations.
Droits d’accès aux fichiers
Utilisez le principe du moindre privilège pour les permissions de fichiers :
Exemple de permissions sûres :
Dossiers : 755
Fichiers : 644
Non sûr : 777 (accès total pour tous)
Cela minimise l’impact si un fichier est d’une manière ou d’une autre compromis.
Autres conseils de sécurité
- Limitez le nombre d’administrateurs
- Utilisez uniquement des modules réputés de PrestaShop Marketplace
- Supprimez les modules inutilisés
- Planifiez des analyses antivirus régulières des fichiers
- Auditez régulièrement les journaux à la recherche de signes d’intrusion
Soyez vigilants et suivez les meilleures pratiques de sécurité pour prévenir les menaces.
Conclusion
Vous disposez désormais d’un guide complet pour installer et sécuriser PrestaShop du début à la fin.
Suivre ces étapes clés vous permet de :
- Mettre en place et exécuter PrestaShop en toute tranquilité
- Configurer correctement les paramètres de base dès le départ
- Sécuriser pour prévenir les attaques contre votre boutique en ligne
- Établir la maintenance pour garder PrestaShop sécurisé
Vous pouvez maintenant procéder à la personnalisation de votre boutique en ligne, ajouter des produits, configurer les intégrations de paiement et de livraison.
Appliquez les mesures de sécurité décrites ici pour prévenir les menaces tout au long de votre parcours e-commerce.
Cela établit une base solide pour le succès et la sécurité de votre entreprise PrestaShop !