Sécurité Ecommerce : protection pour Prestashop, Magento et Drupal


Dernière modification le 04/01/2019 par Vincent G.

Depuis 2008, votre spécialiste de la cyber-sécurité sur CMS, vous propose de sécuriser Prestashop, Magento, Wordpress et Drupal.

Chaque jour, nous nous adaptons aux nouvelles menaces et vaccinons les systèmes de nos clients.

Avant toute chose, il est important de préciser que TouchWeb est uniquement spécialisé dans la cybersécurité de sites Web (et d'applications Web) sous Debian (Linux). Nous n'avons pas vocation à sécuriser autres choses, ce n'est pas l'objet de notre agence web à Orléans pour Prestashop et Magento.

Pourquoi sécuriser votre site Internet ?

Voici quelques questions qu'il est important de se poser :

  • Êtes-vous en conformité avec le RGPD ?
  • Qui s'occupe de contrôler les accès à votre site Internet ?
  • Vos données peuvent-elles intéresser des tiers ? Exemple, un email d'un client qualifié, suivant les secteurs d'activité, peut valoir entre 0,10 € et 10€. Si votre base client possède 50 000 prospects qualifiés, elle peut valoir plus de 500 000€.
  • Êtes-vous amené à vous connecter à votre site Web sur des réseaux publics ? (3G / 4G, Wifi libre)
  • Êtes-vous sur un secteur d'activité à risque ? (Banque, crédit, assurance, informatique etc)
  • Vos visiteurs peuvent-ils être amenés à interagir avec vos serveurs (dépôt de fichiers, formulaires, ...) ?
  • Stockez-vous des données sensibles ? (comme un mot de passe - la plupart des gens utilisent le même mot de passe partout, y compris pour se connecter à des services en ligne ayant un accès direct à leurs comptes en banque)

Si, à une seule de ces questions, votre réponse est "Oui", alors il est nécessaire que vous vous interrogiez sur les politiques de sécurité mises en place.

Certains vous diront peut-être que cela est surdimensionné ou disproportionné. Si vous entendez cela, nous vous invitons à leurs demander "Pourquoi ?" car avec des astuces simples, on peut mettre en place une politique de sécurité adaptée n'entraînant aucun surcoût.


Comment faire pour sécuriser Prestashop, Magento, Drupal ou Wordpress ?

Il existe deux axes bien distincts de sécurisation : un BACK-END et un FRONT-END.

Le BACK-END est ce que vous ne voyez pas : il faut sécuriser votre serveur via une politique de sécurité adaptée à votre secteur d'activité et à la sensibilité des données que vous gérez.

Le FRONT-END est ce que vous voyez : il faut sécuriser l'accès à votre site Web et le traitement des données envoyées par vos visiteurs


Le de Touch'Web : Tous nos serveurs sont sécurisés dès l'entrée de gamme.

Un avantage du monde informatique par rapport à d'autres secteurs est que nos travaux sont hautement réutilisables.

Ainsi nos outils nous permettant d'être infogérance spécialisée Prestashop et Magento ont été conçus, dès l'origine, pour garantir une sécurisation avancée et non contraignante sur ces deux axes, sans surcoût pour le client - grâce à une réutilisation astucieuse des dizaines de composants formant la base de notre superviseur système et applicatif.

Par ailleurs, tous nos clients profitent de nos méthodes de mutualisation systématique de la maintenance curative. Dès qu'une anomalie est rencontrée chez un client, elle est rapidement identifiée puis, tous les serveurs/sites de nos autres clients sont vaccinés préventivement.

Côté BACK-END : Nous avons mis en place une procédure automatique qualitative et standard de sécurisation de nos serveurs :

  • randomisation systématique des ports d'accès SSH / SFTP / FTPES (protection anti port-scanner) avec remontée automatique des logs à votre hyperviseur
  • impossibilité de se connecter en SSH par mot de passe (protection anti brute-force) avec mode bastion activable (via une gateway SSH dédiée et load-balancée sur plusieurs centres de données)
  • protection avancée des accès à votre serveur dont le serveur Web (protection anti ddos et veille sur les potentielles tentatives d'intrusion)
  • contrôle de cohérence du trafic Web avec bannissement préventif (entre autres : lutte contre Avalanche et divers botnets)
  • analyse journalière antivirale supervisée en toute transparence sur notre système d'hypervision (protection anti-virus via ClamAV)
  • surveillance avancée des serveurs et de leurs zoosphères applicatives (charge système, espace disponible sur les disques, inodes et la mémoire, santé des applications systèmes dont PHP-FPM, NGinx, Apache2, MariaDB/MySQL, Varnish, Memcache, etc)
  • contrôle de la santé vos applications métiers (Prestashop, Magento, Drupal et Wordpress) avec reporting automatisé en cas de défaut
  • analyse des modules exploités par votre application métier avec reporting automatisé en cas d'anomalie (API Prestashop hors service, incident bancaire, etc)
  • verrouillage par HTPASSWD (mot de passe bas niveau) des zones sensibles avec contrôle anti-brute force (PHPMyAdmin, PageSpeed, Kibana)
  • sécurisation de vos serveurs emails pour qu'ils envoient vos mails de manière sécurisée (TLS / SSL) soumis à SpamAssassin (anti-spam russe Prestashop)
  • activation de DNSSEC sur vos noms de domaine (protection anti cache-poisoning)
  • contrôle avancé avec filtrage automatique des séquences suspectes de toutes les données issues de vos visiteurs
  • tolérance zéro aux anomalies via une méthode stricte de développement avec reporting automatique et patch correctif sous 24 heures
  • conservation des logs des serveurs (et d'un grand nombre d'applications systèmes) avec sauvegarde avancée (propagation journalière sur 5 serveurs de stockage dans un contexte multi-site et multi-hébergeur)

Côté FRONT-END : tout est fait pour que cela soit le moins contraignant possible pour nos clients et leurs visiteurs

  • contrôle non contraignant des données issues de vos visiteurs (les vrais contrôles se font côté BACK-END)
  • gestion avancée des processus d'identification via OTP (One Time Password : Google Authenticator, Yubikey) ou pour plus de simplicité, par OAuth (Google et Facebook)
  • déploiement d'un certificat SSL PRO (DV/OV/EV) pour bénéficier de la navigation sécurisée par HTTPS avec mise en conformité HSTS sur-demande (Garantie A+ sur le test Qualys)

Grâce à cela, votre serveur est sécurisé ainsi que votre site Web comme vous êtes en droit de l'attendre en 2019, sans surcoût car tout est automatisé (hors achat de certificats SSL PRO et serveurs nécessaires au bastion).


Le saviez-vous ? La police et la gendarmerie sont généralement impuissantes sur Internet.

À notre grand désespoir, les services publics que nous payons (cher) ne sont pas compétents pour nous protéger la quasi-totalité du temps sur Internet. Nous sommes donc tous, seuls sur le Web.

Pourquoi ?

Internet autorise n'importe qui à faire n'importe quoi, sans que personne ne soit généralement capable de remonter à la source. Résultat : les tiers ne sont que très rarement identifiables.

Cela renforce la nécessité de consolider les protections en amont. Tout le monde est exposé, et tout le monde peut se faire pirater (absolument tout le monde, pensez l'inverse n'est que pure fantaisie de l'esprit).

Ce que l'on vous garantit ici, c'est de complexifier le plus que possible la tâche aux assaillants pour qu'ils se lassent, le plus rapidement possible. (dans la limite de nos capacités - avec une entrée de gamme à 30€ HT / mois / serveur vous vous doutez bien que nous ne passons pas nos journées à auditer vos historiques serveurs, bien que nous auditions chaque dysfonctionnement avéré et qu'en conséquence, nous adaptions les protocoles de sécurité supervisés par notre intelligence artificielle)

Tout en vous assurant un PRA digne de ce nom (voir : comment Touch'Web sauvegarde vos données)


Dans notre agence d'infogérance Magento, Prestashop et Drupal, c'est notre quotidien de sécuriser vos CMS.

Souhaitez-vous en discuter avec nous ?