Les bonnes pratiques pour sécuriser sa boutique

Le piratage de votre boutique n’est pas à prendre à la légère comme vous pouvez vous en douter. Il se présente de multiples façons, détournement de vos moyens de paiement pour récupération des fonds ou des coordonnées bancaires, récupération de données clients, récupération de mot de passe backoffice.

 

Il est important pour cela de faire attention aux modules que vous déployez, l’origine, la fonctionnalité. Un module récupéré sur un forum quelconque peu par exemple être un point d’entrée, comporter une faille de sécurité, un trojan. Il est préférable d’utiliser la PrestaShop Marketplace pour vos modules.

 

Techniquement vous êtes peut-être un peu perdu avec les nouveaux termes FTP, base de données, BackOffice. Retenez juste que ces identifiants que votre hébergeur vous a donnés et l’accès à votre BackOffice sont à conserver et à communiquer seulement aux bonnes personnes.

 

Ne communiquez jamais sur un forum ou sur un service non dédié à du support technique vos accès. Vous avez une responsabilité sur ces informations. Ce sont comme les clés de votre maison qui donne accès à votre business et aussi aux données de vos clients, vous êtes aujourd’hui responsable de ces données et vous devez les protéger au maximum (c’est le RGPD).

 

N'hésitez pas aussi à prendre un hébergement avec de l’infogérance, plus chers mais vous avez une équipe qui peut assurer des actions sur votre serveur et donc sécuriser ce dernier plus facilement (mise à jour des langages utilisés sur le serveur, gestion des failles de sécurité, intervention en cas de piratage etc). Il faut garder en tête qu’un site e-commerce n’est pas gratuit, il y a différents coûts comme pour le loyer d’une boutique physique. Il est important de prendre un bon serveur adapté à votre site et à votre trafic pour des questions de performance mais aussi de sécurité.

 

Quelles sont les bonnes pratiques à mettre en place ?

• Vérifier si possible quotidiennement que son tunnel de commande semble normal visuellement et que l’accès aux paiements correspond bien à un état normal (vous n'avez pas besoin de passer une commande)
  
  
• Modifier régulièrement les accès à son back-office pour soi et pour ses salariés
  
  
• Créer un accès différent par personne se connectant au site (cela permet en cas de changement de collaborateur, de pouvoir supprimer un accès simplement).

 

• Définir des droits différents selon le profil de l’employé et les actions qui lui seront affectés.

 

• Consulter quotidiennement si les transactions remontent bien dans le back-office de PrestaShop et le backoffice de la banque
  
  
• Communiquer, aux différents supports que vous contacterez, des accès temporaires que vous supprimerez après intervention, vous avez la main sur le back-office et c’est vous qui créez les profils, les permissions et les comptes. Selon l’offre de votre serveur, vous ne pourrez pas le faire pour le FTP et la base de donnée mais renseignez-vous auprès de votre hébergeur. Moins vos accès principaux sont communiqués et plus ça vous sécurise. Si vous avez besoin de donner un accès FTP à votre serveur, créez un nouveau compte que vous donnerez aux intervenants, cela vous permettra de le supprimer une fois l’intervention finalisée.
  
  
• Être curieux ! Si un comportement sur votre site change du jour au lendemain, se poser peut être des questions. Est-ce que j’ai installé un module dernièrement ? Est-ce que je suis au courant que quelqu’un travail sur mon PrestaShop ? Non ? Rapprochez-vous de votre agence web ou du support PrestaShop en expliquant ce que vous constatez.