Protéger son site Prestashop contre les attaques.

Comment ProtectMy.site sécurise votre site pRESTASHOP ?

En 2021, les sites e-commerce Prestashop ont généré plus de 24 milliards d'euros de chiffre d'affaire. Prestashop est donc un plateforme incontournable pour la création de boutique en ligne. Mais avec 16 vulnérabilités en 2023 au sein du noyau Prestashop, dont le score moyen est de 8.25 donc plutôt élevé, la sécurité est un point a suivre particulièrement. D'autant que cette plateforme est très souple : les modules et thèmes développés par des équipes tierces sont aussi des sources possible de vulnérabilité. Heureusement, la plupart des attaques exploitent des procédés déjà connus, pouvant être bloqués par un WAF (Web Application Firewall) comme ProtectMy.site. Cette page détaille toutes les actions de protection réalisées par notre firewall et WAF cloud pour sécuriser votre e-commerce Prestashop.

Un bouclier devant Prestashop !

Waf pour sécuriser Prestashop

ProtectMy.site est une alternative à CloudFlare. Il se place entre le visiteur et votre site web pour détecter et bloquer les comportements malveillants, tels que les tentatives d'injection SQL, les exploits XSS et CSRF, le scrapping, les attaques par déni de service (DDOS), etc... et ce même sur les failles 0days. Il gère également le certificat SSL et améliore la confidentialité des échanges en éliminant les protocoles de chiffrements obsolètes, sans aucune intervention sur votre serveur d'hébergement web. Grâce à sa liste "Cybercrime IP feeds", il connait déjà plus de 3 millions d'adresses IP malveillantes, qui ne pourront pas attaquer votre boutique en ligne Prestashop. ProtectMy.site réagit rapidement : non seulement il bloque la tentative d'attaque, mais en plus il blackliste l'attaquant, l'empêchant de mener une autre attaque par la suite. Enfin, il sécurise votre interface d'administration pour la rendre étanche à toute tentative d'intrusion.

ProtectMy.site est donc une solution de protection complète pour sécuriser votre e-commerce Prestashop.

Expert cybersécurité WAF
LE WAF (Web Application Firewall) pour Prestashop, allié de votre cybersécurité :

Protection contre les failles 0days.

En détectant les signatures d'attaques génériques, nous protégeons votre site Prestashop contre l'exploitation par les hackers, de failles encore inconnues. Le profil spécifique à Prestashop permet d'éviter les faux positifs.
Protection contre les injections SQL

Vos formulaires ou vos requêtes API peuvent présenter une vulnérabilité entrainant un accès non désiré à la base de données. Il est possible alors pour un hacker de modifier, supprimer, ajouter, extraire des données. Cela peut occasionner une fuite des mots de passe ou des informations utilisateurs, que vous devrez signaler à la CNIL et notifier à vos utilisateurs. Le hacker peut aussi procéder par ce biais au défacement de votre site web. Dans tous les cas, vous risquez une perte d'image et de confiance auprès de vos utilisateurs. Grâce a son WAF, ProtectMy.site détecte et bloque les tentatives d'injection SQL avant votre site Prestashop, grâce aux règles OWASP.

Protection contre les attaques XSS (Cross Site Scripting)

En manipulant vos formulaires vulnérables ou la requête vers une page non protégée de votre site Prestashop, un code malveillant peut être installé dans un site sain. Ce code déclenche un appel vers un autre site, lors de la visite de vos utilisateurs ou clients. Cela peut servir à accéder à des informations sensibles comme les cookies d'authentification, ou pour diffuser un malware. Votre site devient alors un piège pour vos visiteurs. Le service WAF de ProtectMy.site détecte les tentative d'injection XSS dans votre site Prestashop grâce aux règles OWASP et bloque les accès malveillant en appliquant la "Content Security Policy" en amont du code de votre site web.

La puissance des règles OWASP au service de votre e-commerce Prestashop

L'OWASP est une organisation internationale qui établi une classification des attaques les plus courantes sur les applications web, comme la plateforme Prestashop. Le WAF ProtectMy.site intègre un puissant moteur de détection des attaques du Top10 OWASP, et vous protège ainsi de tentatives d'intrusion cyber. Chaque requête est analysée en temps réel, avant d'être envoyée à votre site web Prestashop. Les requêtes malveillantes sont bloquées. Si l'attaquant insiste, il est directement blacklisté dans notre firewall. Pour éviter les erreurs de détection, nous avons établi un profil compatible avec les boutiques en ligne Prestashop sains et la procédure d'installation comporte une vérification du bon fonctionnement de votre site à travers notre passerelle WAF (Web Application Firewall).

Détection et suppression des robots malveillants

Les robots seraient responsables de 50% du trafic web mondial. La moitié des ressources de votre site Prestashop, de votre serveur web et de sa bande passante pourraient être consommée pour des usages inutiles, autres que vos visiteurs et clients. ProtectMy.site bloque les robots malveillants, mais laisse, bien-sûr, les moteurs de recherches, les réseaux sociaux et autres trafics légitimes accéder à votre site web Prestashop.

Moins de requêtes inutile
En bloquant les robots scrappeurs, les spammeurs de formulaires, les analyseurs SEO des concurrents, ou encore les bots zombies réalisant des reconnaissances avant attaque.
Plus de bande passante disponible
En éliminant les requêtes inutiles, le WAF ProtectMy.site augmente la bande passante disponible pour vos réels visiteurs. Un geste pour la planète, mais aussi pour votre budget !
Votre Prestashop plus rapide
Les robots ne consomment plus les ressources de votre site Prestashop, donc elles sont disponibles pour vos clients et visiteurs : pour eux, le site est plus rapide et c'est bon pour le SEO.

Sécuriser le backoffice Prestashop

L'interface d'administration Prestashop (ou autrement dit, le backoffice) est un espace sensible pour la sécurité de votre site web. Il convient de le protéger particulièrement.

Lors de l'installation, Prestashop impose la personnalisation du lien vers l'interface d'administration. Mais ce n'est qu'une protection minimale. Si est adresse est découverte, l'absence d'un système de filtrage peut faciliter la possibilité d'une attaque par brute-force. Un hacker peut alors tenter tous les mots de passe possibles. Il est aussi possible d'utiliser une fuite de données d'une autre plateforme sur laquelle vous auriez utilisé le même mot de passe.

ProtectMy.site vous propose 2 solutions efficaces pour sécuriser le backoffice de Prestashop:

  • L'accès restreint sur une ou plusieurs adresses IP de confiance.
  • L'accès protégé par un certificat de confiance offrant un haut niveau de cybersécurité.
Sécuriser le backoffice Prestashop

Amélioration de la robustesse du chiffrement SSL

À partir du mois d'août 2014, Google a favorisé les sites dotés d'un chiffrement SSL, ceux accessibles en HTTPS. C'est depuis devenu la norme, mais les algorithmes de chiffrement SSL ont évolué : certains sont devenus obsolètes, comme SSLv3 ou TLS 1.0 et 1.1, remplacés par TLS 1.2 et 1.3. Pour modifier le chiffrement SSL de votre e-commerce Prestashop, il faut agir au niveau de votre hébergement web, ce qui n'est pas toujours facile. Avec ProtectMy.site, nous activons uniquement les chiffrements sûrs, offrant la possibilité d'une note "A" lors des tests SSL.

Vos visiteurs sont en confiance
Les sites dont le chiffrement n'est pas correct risquent d'afficher une alerte, ce qui rebutera les visiteurs. Alors que ceux avec un chiffrement de qualité donnent confiance.
Chiffrement SSL TLS 1.2 et TLS 1.3
Let's encrypt ou mieux ?
Le certificat Let's Encrypt est celui par défaut mais il est possible d'acheter un meilleur niveau de certification avec un plus haut niveau de validation. C'est aussi un élément qui crée la confiance !

La blackliste "Cybercrime IP Feeds"

Avec la blackliste "CyberCrime IP Feeds" d'ARTICA Reverse Proxy, ce sont plus de 3.6 millions d'adresses IP, connues pour leurs opérations malveillantes, qui ne pourront pas attaquer votre site commerce en ligne Prestashop.

Cette blackliste contient :

- Les IPs de sites web compromis utilisés pour réaliser des attaques par rebond

- Les IPs de réseaux de spammeurs de formulaires, forums, etc...

- Les IPs repérées comme étant régulièrement sources d'attaques informatiques

- Les IPs de sites diffusant des malwares, pouvant être utilisés en cas de faille XSS

- Les IPs de sites de cryptomining par navigateur, pouvant servir dans une attaque XSS

- Les IPs repérées par nos serveurs pour des activités malveillantes

Bloquer les adresses IP des hackers

Notre protection PRESTASHOP En résumé

La sécurisation de votre site Prestashop est facile et rapide avec ProtectMy.site : après commande, un expert analyse votre site et prépare la configuration de la protection selon vos instructions recueillies dans le formulaire technique. Ensuite, il suffit de modifier les enregistrements DNS pour rediriger les requêtes vers nos serveurs. A l'issue du délai de propagation, votre site Prestashop est protégé.

Un bouclier devant Prestashop
Derrière notre WAF, votre site Prestashop est protégé contre les failles 0days les plus courrantes.
Web Application Firewall
Seules les requêtes saines sont envoyées vers votre site web sous Prestashop.
Backoffice sécurisé
L'interface d'administration est protégée contre les tentatives d'intrusion avec 2 méthodes au choix.
Les bots malveillants bloqués
Les robots spammeurs ou scrappeurs ne consomment plus les ressources et la bande passante.
Chiffrement SSL renforcé
Fini les méthodes de chiffrement SSL/TLS obsolètes, votre site donne confiance à vos visiteurs.
IP malveillantes blacklistées
Les IPs connues pour générer des attaques sont déjà bloquées grâce à "Cybercrime IP Feeds"