Développement PrestaShop

Double authentification, politiques de mots de passe et sécurité admin PrestaShop

David Miller Publié : 14/06/2026 Créé : 28/02/2026 Mis à jour : 28/05/2026 Développement PrestaShop

Si quelqu'un accède à votre panneau d'administration PrestaShop, il peut accéder aux données clients, modifier les commandes, télécharger votre base de données, installer des modules malveillants et rediriger les paiements vers ses propres comptes. Votre panneau d'administration est la cible la plus précieuse pour les attaquants — et dans de nombreuses boutiques, il n'est protégé par rien de plus qu'un nom d'utilisateur et un mot de passe que le propriétaire utilise pour cinq autres services.

Les échecs de sécurité admin les plus courants

Mots de passe faibles : « admin123 », « store2024 », « prestashop » — ceux-ci sont testés par des bots automatisés quelques minutes après la découverte d'une URL admin.
Comptes partagés : Plusieurs employés utilisant le même compte admin signifie aucune responsabilité, aucune piste d'audit et aucune possibilité de révoquer l'accès d'une personne sans changer le mot de passe de tout le monde.
URL admin par défaut : PrestaShop utilise un nom de dossier admin aléatoire lors de l'installation, mais certaines boutiques le changent en quelque chose de prévisible comme /admin ou /backoffice.
Pas d'authentification à deux facteurs : Un mot de passe seul, aussi fort soit-il, peut être compromis par le phishing, les fuites de données d'autres services ou les enregistreurs de frappe.
Permissions excessives : Chaque employé a un accès SuperAdmin alors que la plupart n'ont besoin que d'accéder aux commandes et aux fonctions de service client.

Authentification à deux facteurs (2FA)

La 2FA nécessite deux formes de vérification : quelque chose que vous connaissez (mot de passe) et quelque chose que vous possédez (un appareil générant un code temporaire). Même si un attaquant vole votre mot de passe, il ne peut pas se connecter sans le second facteur.

Comment activer la 2FA dans PrestaShop

PrestaShop 8.x et versions ultérieures incluent une prise en charge intégrée de la 2FA utilisant Google Authenticator ou toute application compatible TOTP (Authy, Microsoft Authenticator, 1Password). Activez-la dans votre profil employé :

Allez dans Paramètres avancés > Équipe > Employés
Modifiez votre compte employé
Activez l'authentification à deux facteurs
Scannez le code QR avec votre application d'authentification
Entrez le code de vérification pour confirmer la configuration

Pour les anciennes versions de PrestaShop, des modules ajoutent la fonctionnalité 2FA. C'est un investissement indispensable quelle que soit la version.

Rendre la 2FA obligatoire

La 2FA devrait être requise pour tous les comptes admin, pas seulement le vôtre. Un compte employé sans 2FA est un point faible qui compromet la sécurité de tous les autres comptes. Si quelqu'un peut accéder à n'importe quel compte admin, il a un point d'appui pour escalader.

Politiques de mots de passe

Exigences de mot de passe

Imposez des mots de passe forts pour tous les comptes admin :

Minimum 12 caractères (plus long c'est mieux — 16+ est idéal)
Mélange de majuscules, minuscules, chiffres et symboles
Pas un mot du dictionnaire ou un schéma courant (pas de « Summer2024 ! »)
Pas réutilisé d'un autre service

La meilleure approche est d'utiliser un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) qui génère et stocke des mots de passe aléatoires. Un mot de passe aléatoire de 20 caractères provenant d'un gestionnaire est à la fois plus sécurisé et plus facile à utiliser qu'un mot de passe mémorisable.

Changements de mot de passe

Les changements de mot de passe périodiques forcés (tous les 90 jours) sont un conseil dépassé. Les recommandations de sécurité modernes disent : utilisez des mots de passe forts et uniques et ne les changez que lorsqu'il y a une raison (suspicion de compromission, départ d'employé, incident de sécurité). Forcer des changements fréquents conduit à des mots de passe plus faibles car les gens recourent à des schémas prévisibles.

Comptes employés et permissions

Un compte par personne

Chaque personne qui accède à l'admin devrait avoir son propre compte. Cela fournit :

Responsabilité : Chaque action dans l'admin est enregistrée avec l'employé qui l'a effectuée
Accès révocable : Quand quelqu'un part, désactivez son compte sans affecter les autres
Permissions appropriées : Chaque compte n'a que l'accès nécessaire pour le rôle de cette personne

Principe du moindre privilège

Donnez à chaque compte employé uniquement les permissions nécessaires pour son travail :

Personnel de traitement des commandes : Accès aux Commandes, Clients (lecture seule) et Expédition. Pas d'accès aux Modules, Design ou Paramètres avancés.
Gestionnaire de contenu : Accès au Catalogue (produits, catégories), pages CMS et éventuellement le module blog. Pas d'accès aux Commandes ou Paramètres.
Développeur/technique : Accès aux Modules et Design. Accès limité aux Paramètres avancés selon les besoins.
SuperAdmin : Accès complet. Limitez à 1-2 personnes maximum — le propriétaire de la boutique et éventuellement un responsable technique de confiance.

Les profils d'employés et groupes de permissions de PrestaShop gèrent cela. Configurez des groupes de permissions correspondant aux rôles de votre équipe et attribuez les employés en conséquence.

Sécurité de l'URL admin

Garder le dossier admin aléatoire

PrestaShop génère un nom de dossier aléatoire lors de l'installation (comme /admin476asd/). Gardez-le aléatoire. Ne le renommez pas en /admin ou /backoffice — les bots scannent systématiquement ces chemins courants.

Restrictions IP

Si votre équipe accède à l'admin depuis des adresses IP connues (bureau, domicile), restreignez l'accès admin à ces IPs via .htaccess ou les règles de pare-feu du serveur. Cela bloque l'accès depuis tout autre emplacement, même avec des identifiants valides. Pour les équipes distantes avec des IPs dynamiques, l'accès VPN fournit une IP fixe qui peut être mise en liste blanche.

Limitation du taux de connexion

Limitez les tentatives de connexion échouées — après 5 tentatives échouées, verrouillez le compte pendant 15 minutes ou exigez un CAPTCHA. Cela arrête les attaques par force brute qui essaient des milliers de combinaisons par minute.

Sécurité des sessions

Déconnexion automatique : Les sessions admin devraient expirer après une période d'inactivité (30-60 minutes). PrestaShop dispose d'un timeout de session configurable dans les paramètres du profil employé.
HTTPS uniquement : L'admin ne devrait être accessible que via HTTPS. Si votre admin est accessible via HTTP, les cookies de session peuvent être interceptés sur les réseaux publics.
Cookies sécurisés : Assurez-vous que les cookies de session sont définis avec les flags Secure et HttpOnly, empêchant l'accès depuis JavaScript et les connexions non-HTTPS.

Surveillance et audit

Activez et examinez les journaux d'activité admin :

Qui s'est connecté et quand
Quelles actions ont été effectuées (modifications de produits, changements de commandes, modifications de configuration)
Tentatives de connexion échouées (plusieurs échecs depuis la même IP suggèrent une attaque)

Examinez les journaux au moins mensuellement. Les activités inhabituelles — connexions à des heures inhabituelles, changements de configuration inattendus, nouveaux comptes employés créés à votre insu — sont des signes d'alerte précoce de compromission.

Checklist de sécurité rapide

Activez la 2FA sur tous les comptes admin aujourd'hui
Vérifiez que tous les mots de passe admin sont forts et uniques (utilisez un gestionnaire de mots de passe)
Créez des comptes individuels pour chaque personne — éliminez les connexions partagées
Revoyez et restreignez les permissions des employés au minimum nécessaire
Confirmez que l'URL admin n'est pas un chemin courant/devinable
Activez HTTPS sur l'admin (devrait être activé sur tout le site)
Réglez le timeout de session à 30-60 minutes d'inactivité
Examinez les journaux d'accès admin pour détecter les activités inhabituelles

Les modules PrestaShop peuvent automatiser bon nombre de ces mesures de sécurité. Un module de sécurité complet couvre l'analyse de malware, les règles de pare-feu et la surveillance en temps réel. L'ajout d'une protection reCAPTCHA ou hCaptcha bloque les attaques automatisées de bots sur les formulaires de connexion. Pour les boutiques nécessitant une protection complète, Total Defender combine plusieurs couches de sécurité en une seule solution.

La sécurité admin n'est pas une configuration unique — c'est une pratique continue. Chaque nouvel employé, chaque changement de mot de passe, chaque ajustement de permission est un moment pour renforcer votre posture de sécurité. L'investissement dans une sécurité admin appropriée est minimal comparé au coût catastrophique d'une violation — données clients perdues, fonds volés, sanctions réglementaires et confiance détruite. Sécurisez votre panneau admin aussi sérieusement que vous sécurisez votre magasin physique. Les conséquences d'une intrusion sont tout aussi réelles.

Articles Connexes

Infos Supplémentaires Client et Blocage IP : Protéger Votre Boutique des Visiteurs Problématiques
reCAPTCHA pour PrestaShop : bloquer le spam sans agacer les vrais clients
Protection par mot de passe pour PrestaShop : masquer pages et produits au public

Tags : PrestaShop Sécurité SEO

David Miller

Plus d'une décennie d'expertise pratique PrestaShop. David développe des modules e-commerce haute performance axés sur le SEO, l'optimisation du passage en caisse et la gestion de boutique. Passionné par le code propre et les résultats mesurables.

Cookie	Fournisseur	Finalité	Durée
PrestaShop-*	PrestaShop	Gestion de session et fonctionnalité du panier	Session
PHPSESSID	PHP	Identifiant de session PHP	Session
mprcr_consent	MPR Cookies Revolution	Enregistre les préférences de consentement des cookies	365 jour(s)
mprcr_version	MPR Cookies Revolution	Suit la version de la configuration du consentement	365 jour(s)

Cookie	Fournisseur	Finalité	Durée
TawkConnectionTime	Tawk.to	Suit le temps de connexion de la session de chat	Session
__tawkuuid	Tawk.to	Identifie les visiteurs récurrents du chat	6 mois

Cookie	Fournisseur	Finalité	Durée
_ga	Google Analytics	Distingue les utilisateurs uniques en attribuant un numéro généré aléatoirement	2 année(s)
_ga_*	Google Analytics	Utilisé pour maintenir la session entre les requêtes de pages	2 année(s)
_gid	Google Analytics	Distingue les utilisateurs uniques pendant 24 heures	24 heure(s)