[Sécurité boutique & PrestaShop] Demande de conseils

[MadW]

Bonjour à tous !

Tout nouveau sur ce forum, j'ai découvert PrestaShop il y'a très peu de temps.

Souhaitant créer une boutique en ligne depuis un petit moment déjà, et glanant des informations de-ci de-là, j'hésite encore sur quelques points.

"Atteint d'une paranoïa Webesque", comme j'aime à l'avancer - issu d'un cursus universitaire en développement web, donc sensibilisé à tout ce qui est sécurité de site internet - je voulais savoir quels étaient les sécurités mises en places sur PrestaShop, mais aussi celles pouvant être réglées/implantées.


L'on prétend assez souvent qu'une solution n'est pas sécurisée sur Internet, quelqu'elle soit d'ailleurs, alors que la plupart des cas sont causés par la non-protection de l'ordinateur de l'utilisateur : il est malheureusement tellement plus simple de cogner sur les créateurs d'un outil que sur soit même et son manque de prévoyance...

Bref, c'est un tel fatras qu'il est parfois difficile de différencier le vrai du faux, parfois même de savoir l'exactitude du pur fantasme, concernant la sécurité des boutiques en ligne...


Connaissant moi même - et utilisant - les solutions de base pour protéger mon ordinateur de ces chers Virus MAIS AUSSI DE CES CHERS SPYWARES (malheureusement très peu connus sur le net, et responsable de tant d'usurpation d'identités/vols d'informations personnelles allant des conversations privées, mot de passe, jusqu'à numéro de carte bleue...), il ne me reste donc plus qu'à m'assurer que la solution pour laquelle je vais opter peut être très sécurisée.



J'en viens aux faits directement :



- Le moteur PrestaShop est il protégé contre les "requêtes par Injection" ?

- Que devrais je faire, en plus de créer des limitations d'accès à mes dossiers par Htpasswrd et Htaccess, pour améliorer encore la sécurité de ma boutique ?

- Et enfin, quels sont les principaux éléments du site qu'il faut impérativement fermer aux droits d'écriture, quels sont ceux qu'il faut laisser avec une réécriture autorisée ?


Merci de m'accorder un peu de votre temps.

MadW

[jeckyl]

Salut,

welcome dans la communauté Prestashop.

Perso, contre tous les spyware et autre infamies du web ... je suis passé sur MAC.

Lol

Pour le reste il y a toujours à améliorer mais si tu regarde rapidement le code de Prestashop tu trouveras tes réponses.

[Patric]

Comme tu le dis toi-même, la première faille reste l'ordinateur de l'utilisateur (manque de protection).
La seconde étant généralement le manque de vigilance (mots de passes simple, etc.).

La solution PrestaShop est très sécurisée. Je n'aurais pas la prétention de dire qu'elle n'est pas sans failles, car comme tu le dis, ça n'existe pas, mais dès qu'une faille est découverte, elle est corrigée.
Certaines releases récentes on d'ailleurs constitué des mises à jour de sécurité importantes.

Enfin, il est effectivement conseillé de protéger son Back Office avec un htaccess, en plus de l'écran de login.

[DevNet]

Bonjour,

Vous n'avez pas à vous en faire sur le côté sécurité des versions stables. A vous de la mettre à jour, on sait jamais.
Vous pouvez aussi regarder la page 24 de ce tutoriel technique : http://www.prestashop.com/download/Techguide_fr.pdf

Si des problèmes surviennent, c'est dû dans 99% des cas, soit à la station cliente du gestionnaire qui a les accès FTP (espion, virus, etc.), soit à l'hébergeur qui n'a pas les bonnes configurations pour faire son hosting web (ou il ne met pas à jour ses daemons)

Bien cordialement

[MadW]

On va pas lancer un débat Mac/Pc, ni savoir qui est le plus sécurisé : vous connaissez tout comme moi l'existence des BackDoor et les différents outils détournés existant sous Mac pouvant poser problème. Sans parler des packages, s'ils sont proposés sous forme de source clean, peuvent être aussi proposés prêts à l'emploi avec de jolis petits ajouts non signalés zigouillant partie de la sécurité du Mac. Il n'y a pas de solution infaillible, et là n'est pas la question de plus.



Non je venais ici poser des questions sur la sécurité de PrestaShop, et des différents moyens de rendre cette solution vraiment sécurisée, quitte à faire une petite liste ou de faire rapidement le tour des possibilités.


EDIT : Pardon je n'avais pas vu les deux réponses suivante.

Très bien... Donc pour éviter les requêtes par injection, que ce soit la page de login ou même la protection de tout champ texte, il faudra que je bidouille moi même le code. L'affaire d'une fonction simple à rajouter aux champs, cela dit, ça devrait pas bien être long.

Je me dis aussi qu'il serait nécessaire de protéger l'intégralité des dossiers : assez souvent des petits malins connaissent les emplacements généralement libres en écriture, implantent quelque chose, et BAM le script implanté peut être lancé depuis le site :s


Bref, qu'en pensez vous ?