Pourquoi la securite PrestaShop doit etre votre priorite absolue
Je vais etre direct : si vous gerez une boutique en ligne sous PrestaShop et que vous ne pensez securite qu'au moment ou vous etes pirate, vous jouez a la roulette russe avec votre business. En 2024, 67 % des entreprises francaises ont subi au moins une cyberattaque, contre 53 % en 2023 (source : Statista, 2024). Le secteur du e-commerce est une cible privilegiee : les donnees de paiement, les fichiers clients et les informations personnelles y circulent en masse.
L'ANSSI a traite 4 386 evenements de securite en 2024, soit une hausse de 15 % par rapport a 2023 (source : ANSSI, rapport d'activite 2024). Et cote retail, le rapport Verizon DBIR 2024 recense 837 incidents cyber dans le secteur, dont 419 violations de donnees confirmees. Le cout moyen d'une violation dans le commerce en ligne atteint 3,54 millions de dollars en 2025 (source : Verizon DBIR 2025).
En tant que prestataire PrestaShop, j'accompagne des marchands confrontes a ces menaces au quotidien. Cet article est la synthese de ce que j'ai appris sur le terrain : les failles les plus exploitees, les erreurs que je vois partout, et surtout la checklist concrete pour proteger votre boutique. Pas de panique, mais de l'action.
Les failles de securite PrestaShop les plus exploitees
Avant de parler protection, il faut comprendre comment les attaquants operent. La majorite des compromissions que je constate sur PrestaShop suivent des schemas bien identifies.
L'injection SQL : la reine des failles
L'injection SQL reste le vecteur d'attaque numero un sur les boutiques PrestaShop. Le principe : un attaquant insere du code SQL malveillant dans un champ de formulaire ou un parametre d'URL pour manipuler votre base de donnees. En janvier 2025, PrestaShop a publie une alerte officielle sur des attaques par injection SQL ciblant specifiquement les modules tiers (source : PrestaShop Build Blog, janvier 2025).
Les consequences sont redoutables :
- Vol de la base clients complete (noms, emails, adresses, historique de commandes)
- Insertion de scripts malveillants dans la configuration du shop (notamment dans
PS_SHOP_NAME) - Elevation de privileges permettant l'acces au back-office
- Installation de skimmers de cartes bancaires en front-office
Les failles XSS (Cross-Site Scripting)
Le XSS permet a un attaquant d'injecter du code JavaScript dans les pages de votre boutique. En 2024, une faille critique (CVE-2024-34716) a ete decouverte dans le formulaire de contact client : un pirate pouvait telecharger un fichier malveillant contenant du XSS qui s'executait des qu'un administrateur l'ouvrait (source : GitHub Security Advisory GHSA-45vm-3j38-7p78).
Les versions de PrestaShop anterieures a 8.1.3 et 1.7.8.11 sont egalement concernees par un contournement de la methode isCleanHTML, qui est censee filtrer les attributs d'evenements HTML dangereux.
Les modules tiers : le maillon faible
C'est un point que je martele aupres de tous mes clients : la faille n'est souvent pas dans le coeur de PrestaShop, mais dans les modules. L'organisation Friends of Presta recense en continu les vulnerabilites des modules tiers sur security.friendsofpresta.org. Rien qu'en 2024, des dizaines d'advisories ont ete publiees.
L'attaque Wishlist de 2022 : un cas d'ecole
En juillet 2022, une attaque massive a exploite une chaine de vulnerabilites liee au module Wishlist (blockwishlist) de PrestaShop. La faille CVE-2022-31101, une injection SQL dans les versions 2.0.0 a 2.1.0 du module, a ete combinee avec l'exploitation du cache MySQL Smarty pour aboutir a une execution de code a distance (source : PrestaShop Build Blog, juillet 2022). Des milliers de boutiques ont ete compromises, avec vol de donnees de paiement a la cle.
Tableau des types de failles et leur gravite
| Type de faille | Gravite (CVSS) | Impact principal | Frequence sur PrestaShop | Exemple CVE |
|---|---|---|---|---|
| Injection SQL | Critique (9.0-10.0) | Vol de donnees, execution de code | Tres frequente (modules tiers) | CVE-2022-31101 |
| Cross-Site Scripting (XSS) | Haute (6.0-8.0) | Vol de session admin, defacement | Frequente | CVE-2024-34716 |
| Execution de code a distance (RCE) | Critique (9.0-10.0) | Controle total du serveur | Rare mais devastatrice | CVE-2025-25691 |
| Elevation de privileges | Haute (7.0-8.5) | Acces admin non autorise | Moderee | CVE-2024-29013 |
| Deserialisation PHAR | Critique (9.0-10.0) | Execution de code arbitraire | Rare | CVE-2025-25691 |
| Enumeration d'informations | Moyenne (4.0-5.5) | Decouverte de comptes existants | Moderee | GHSA-67v7-3g49-mxh2 |
Ma checklist de securite PrestaShop en 10 points
Voici les actions concretes que je mets en place sur chaque boutique en ligne que j'accompagne. Ce n'est pas de la theorie : c'est ce qui fonctionne sur le terrain.
1. Maintenir PrestaShop et ses modules a jour
C'est la base, et pourtant c'est la ou le bat blesse le plus souvent. Selon le rapport Sucuri 2023, 39,1 % des CMS compromis etaient obsoletes au moment de l'infection (source : Sucuri Hacked Website Report 2023). Sur PrestaShop, cela signifie :
- Appliquer les mises a jour de securite des leur publication
- Mettre a jour tous les modules, y compris ceux qui semblent "fonctionner tres bien"
- Supprimer les modules non utilises — un module desactive reste un vecteur d'attaque
- Surveiller les advisories sur GitHub PrestaShop Security et Friends of Presta
2. Securiser l'acces au back-office
Le back-office est la porte d'entree la plus convoitee. Quelques mesures indispensables :
- Renommer le dossier
/adminpar un nom aleatoire et imprevisible - Activer l'authentification a deux facteurs (2FA) avec un module dedie
- Utiliser des mots de passe de 12 caracteres minimum, generes par un gestionnaire de mots de passe
- Limiter les comptes administrateurs au strict necessaire et auditer regulierement les permissions
- Restreindre l'acces au back-office par adresse IP via
.htaccess
70 % des violations exploitent des privileges d'acces existants (source : rapport Verizon DBIR 2024). Moins il y a de comptes avec des droits eleves, plus votre surface d'attaque est reduite.
3. Forcer le SSL/TLS partout
Dans votre back-office PrestaShop, allez dans Parametres avances > Performance et activez "Activer SSL sur toutes les pages". Cela chiffre toutes les communications entre le navigateur de vos clients et votre serveur, empechant les attaques de type man-in-the-middle.
4. Securiser les permissions de fichiers
Les permissions incorrectes sont une porte ouverte. Voici les valeurs recommandees :
chmod 644pourconfig/settings.inc.php(lecture seule)chmod 755pour les dossiersmodules/,themes/,img/chmod 644pour les fichiers PHP- Bloquer l'execution de scripts PHP dans les dossiers
upload/,img/etdownload/via.htaccess
5. Utiliser un prefixe de base de donnees personnalise
Par defaut, PrestaShop utilise le prefixe ps_ pour ses tables de base de donnees. Les attaques automatisees ciblent ce prefixe standard. Si votre boutique est deja en production avec ps_, il est possible de le changer, mais c'est une operation delicate que je recommande de confier a un professionnel.
6. Mettre en place un WAF (Web Application Firewall)
Un pare-feu applicatif filtre le trafic HTTP malveillant avant qu'il n'atteigne votre boutique. Des solutions comme Cloudflare, Sucuri ou ModSecurity peuvent bloquer jusqu'a 99 % des attaques automatisees (source : OWASP). C'est particulierement efficace contre les injections SQL et les attaques par force brute.
7. Programmer des sauvegardes automatiques
Une sauvegarde fiable, c'est votre filet de securite. En cas de compromission, c'est la difference entre quelques heures d'interruption et la perte totale de votre activite. Je recommande :
- Une sauvegarde quotidienne de la base de donnees
- Une sauvegarde hebdomadaire des fichiers complets
- Un stockage externe (pas sur le meme serveur que la boutique)
- Un test de restauration regulier pour verifier que les sauvegardes sont exploitables
8. Surveiller l'activite de votre boutique
Installer des outils de monitoring permet de detecter les comportements suspects avant qu'il ne soit trop tard. Verifiez regulierement :
- Les logs d'acces au back-office (connexions inhabituelles)
- Les modifications de fichiers non prevues
- Les requetes suspectes dans les logs serveur
- L'integrite des fichiers core de PrestaShop
9. Securiser les formulaires et les entrees utilisateur
La validation des entrees est un principe fondamental de l'OWASP Top 10. Sur PrestaShop, cela passe par :
- La verification que les modules utilisent bien les methodes de requete preparee (
pSQL(),bqSQL()) - Le filtrage des donnees avec
isCleanHTML()et les classes de validation - L'ajout de tokens CSRF sur tous les formulaires
- La limitation du nombre de tentatives de connexion
10. Desactiver les fonctionnalites inutilisees
Chaque fonctionnalite active est une surface d'attaque potentielle. L'attaque Wishlist de 2022 a montre que meme une fonctionnalite anodine pouvait devenir un vecteur critique. Desactivez et supprimez tout ce que vous n'utilisez pas : modules, themes, pages de demonstration.
Les 5 erreurs de securite que je vois le plus souvent
Apres des annees d'audits de boutiques PrestaShop, voici les erreurs recurrentes qui me font bondir :
- Laisser le dossier admin avec son nom par defaut — je le vois encore dans une boutique sur trois
- Ne jamais mettre a jour les modules "parce que ca marche" — jusqu'au jour ou ca ne marche plus du tout
- Utiliser le meme mot de passe pour le back-office, le FTP et la base de donnees
- Pas de sauvegarde, ou des sauvegardes stockees sur le meme serveur — en cas de ransomware, tout est perdu
- Installer des modules depuis des sources non verifiees (forums, sites de telechargement douteux) — c'est le meilleur moyen d'installer une backdoor vous-meme
Comment reagir en cas de piratage
Malgre toutes les precautions, le risque zero n'existe pas. Si votre boutique en ligne est compromise, voici la marche a suivre :
- Isoler immediatement : mettez le site en maintenance et changez tous les mots de passe (back-office, FTP, base de donnees, hebergement)
- Identifier la source : analysez les logs serveur pour comprendre comment l'attaquant est entre
- Nettoyer : supprimez les fichiers modifies ou ajoutes, comparez avec une installation propre de PrestaShop
- Restaurer : utilisez votre derniere sauvegarde saine et appliquez immediatement toutes les mises a jour de securite
- Notifier : en cas de fuite de donnees personnelles, vous avez l'obligation legale de notifier la CNIL sous 72 heures (RGPD, article 33)
- Renforcer : appliquez les mesures de cette checklist pour eviter que cela se reproduise
Mettre en place une veille securite
La securite PrestaShop n'est pas un projet ponctuel, c'est un processus continu. Voici les ressources que je consulte regulierement pour rester informe :
- GitHub PrestaShop Security Advisories — les alertes officielles du projet
- Friends of Presta Security — veille sur les modules tiers
- CERT-FR (ANSSI) — alertes de securite nationales
Inscrivez-vous aux notifications de ces sources. Quand une faille critique est publiee, vous avez quelques heures, pas quelques semaines, pour reagir.
L'importance de la performance dans la securite
Securite et performance sont etroitement liees. Un serveur lent et mal optimise est plus vulnerable aux attaques par deni de service (DDoS), et un site non optimise peut masquer des anomalies de trafic suspectes. Si vous souhaitez ameliorer les performances de votre boutique tout en renforçant sa securite, je vous recommande de consulter notre guide sur l'optimisation des performances et du SEO PrestaShop.
Questions frequentes sur la securite PrestaShop
Mon PrestaShop est-il vulnerable si je suis en version 8.x ?
Pas necessairement, mais etre sur la derniere version majeure ne suffit pas. Vous devez appliquer chaque patch de securite des sa publication. En 2025, des failles ont ete decouvertes meme sur PrestaShop 8.2.0 (CVE-2025-25691). La version seule ne garantit rien : ce sont les mises a jour regulieres qui comptent.
Les modules payants sont-ils plus surs que les modules open source ?
Pas forcement. Un module payant peut contenir des failles PrestaShop tout autant qu'un module libre. Ce qui compte, c'est la reputation du developpeur, la frequence des mises a jour, et la presence du module dans les advisories de securite. Verifiez toujours sur Friends of Presta avant d'installer un module.
Comment savoir si ma boutique a ete piratee ?
Les signes courants incluent : des redirections vers des sites tiers, des fichiers PHP inconnus dans vos dossiers, des modifications non autorisees dans la base de donnees (notamment dans ps_configuration), des alertes Google Search Console pour contenu malveillant, ou des plaintes clients concernant des paiements suspects.
Un certificat SSL suffit-il a securiser ma boutique ?
Non. Le SSL chiffre les communications entre le navigateur et le serveur, mais il ne protege pas contre les injections SQL, le XSS ou les failles dans les modules. C'est une brique necessaire, pas une solution complete de protection.
A quelle frequence dois-je faire un audit de securite ?
Je recommande un audit approfondi au minimum tous les six mois, et une revue des modules et des mises a jour chaque mois. Apres chaque installation de module ou changement majeur, un controle de securite rapide est egalement necessaire.
Pour aller plus loin
- Nos prestations d'accompagnement PrestaShop — audit de securite, maintenance et mise a jour
- Optimisation des performances et du SEO PrestaShop
Votre boutique PrestaShop est-elle vraiment protegee ?
Ne laissez pas une faille de securite compromettre votre activite e-commerce. Je realise des audits de securite PrestaShop complets : analyse des modules, verification des configurations serveur, mise en place des protections et plan de veille. Chaque jour sans protection adequate est un risque pour vos clients et votre chiffre d'affaires.