Sécurisez votre back-office PrestaShop avec la double authentification
Pourquoi PrestaFence est la solution que nous recommandons à tous les marchands aujourd’hui
Le back-office PrestaShop : porte d’entrée critique… et trop souvent vulnérable
Dans l’univers e-commerce, la sécurité ne se limite plus à un bon mot de passe. Le back-office PrestaShop est une cible stratégique : c’est là que transitent vos commandes, vos données clients, vos modules, vos accès FTP, vos paiements… Si un pirate parvient à y entrer, c’est toute votre boutique qui est entre ses mains.
Or, la majorité des boutiques ne protègent ce back-office qu’avec un login/mot de passe. Une erreur majeure en 2025. Un mot de passe volé, une injection SQL, un accès base de données… et c’est terminé.
Mot de passe seul = point de rupture
Les scénarios d’attaque sont nombreux :
❌ Brute force sur l’écran de login (essais illimités de mots de passe)
❌ Phishing ciblant l’admin via email ou SMS
❌ Modules vulnérables donnant accès à la base de données ou à la gestion des comptes
❌ Exploit direct via faille du core ou upload malveillant
❌ Désactivation des protections directement en base (cas réel documenté)
Dans tous ces cas, une fois l’accès obtenu, l’intrus peut :
❌ créer un compte admin sans générer d’alerte de sécurité,
❌ injecter un script pour voler les paiements,
rediriger votre site vers une boutique clone…
… voire désactiver toute trace de double authentification si celle-ci n’est pas correctement implémentée.
La double authentification (2FA), un verrou indispensable
La 2FA (authentification à deux facteurs) ajoute un contrôle vital : même si le mot de passe est compromis, l’accès reste bloqué sans une validation secondaire (code SMS, email, application, etc.).
Mais attention : toutes les 2FA ne se valent pas.
Un mauvais module de 2FA peut donner l’illusion de la sécurité tout en étant contournable très facilement.
Les failles courantes des modules 2FA classiques sur PrestaShop
Beaucoup de modules 2FA disponibles sur la marketplace PrestaShop sont moins résistants à plusieurs niveaux :
| ❌ Failles typiques | 🔎 Explication |
| Sensible à un SQL injection | Il suffit de mettre active = 0 sur la ligne du module dans la table ps_module pour le désactiver. |
| Sensible aux fuites de données techniques | L’attaquant peut extraire le secret OTP de la base, l’ajouter à son Google Authenticator, et générer les codes. |
| QR code unique partagé | Certaines extensions utilisent un code 2FA global pour tous les admins. Une fois ce code connu, tous les comptes sont vulnérables. |
| Pas de verrouillage post-réinitialisation | Après un “mot de passe oublié”, certaines boutiques ne demandent pas de 2FA, créant une faille de contournement. |
Et surtout : la quasi-totalité des modules 2FA peuvent être neutralisés si l’attaquant a un accès base de données ou FTP.
PrestaFence : une approche radicalement différente
PrestaFence n’est pas un module comme les autres. C’est une solution complète de sécurité qui intègre une double authentification incontournable, même en cas de piratage de la base. Nous avons du moins testé plusieurs scénarios notamment avec des tentatives d’attaques SQLi pour tester sa résistance à une désactivation de la 2FA.
🔎 Ce qui rend PrestaFence unique :
| Fonctionnalité | PrestaFence | Modules classiques |
| Code par email (out-of-band) | Oui – envoi d’un code sur l’adresse email admin | Non – code généré sur le même appareil que l’attaque |
| Pas de secret stocké en base sans chiffrement | ✅ | ❌ – souvent stocké en clair |
| Non désactivable via SQL | ✅ – sécurité hors base | ❌ – UPDATE ps_module SET active=0 suffit |
| Logs et alertes de connexion suspecte | ✅ – journalisation + blocage IP | ❌ – modules souvent aveugles |
| Pas de QR à scanner ni d’app mobile | ✅ – UX simple et robuste (mail) | ❌ – nécessite configuration app (barrière pour certains) |
Certes on peut comprendre la critique disant que le code reçu par mail est moins sécurisé qu’un code généré par appli type Google Authenticator, mais nous pensons que l’adoption en est rendu plus facile et que ce risque est plus que compensé par sa résistance au contournement. Il faut juste avoir conscience que la sécurité ne se limite pas au back office mais que votre boite mail doit aussi faire l’objet de toute votre attention.
En cas d’attaque, PrestaFence tient.
Exemples concrets observés :
- Tentatives de désactivation du module 2FA via SQL : inefficace, car PrestaFence continue d’intercepter la connexion via un hook noyau ou override.
Et surtout, même en cas de faille dans PrestaShop lui-même (comme celle de 2025 qui permettait de énumérer les logins / emails des administrateurs ) , PrestaFence intercepte la session et exige le code email. Résultat : l’accès reste verrouillé.
Pourquoi nous recommandons PrestaFence à tous les marchands PrestaShop
PrestaShop est une solution robuste mais elle ne propose pas de double authentification native. Face aux menaces actuelles, chaque marchand devrait considérer la 2FA comme un prérequis de base, au même titre qu’un certificat SSL.
Et parmi toutes les solutions du marché, PrestaFence est la seule que nous considérons comme vraiment résistante aux attaques réalistes :
- Elle ne repose pas sur la base de données (donc non contournable via SQL)
- Elle bloque les actions avant même qu’elles n’atteignent le back-office
- Elle vous protège sans alourdir votre quotidien
C’est pour cela que nous l’avons développée, testée, et qu’aujourd’hui nous pouvons la recommander.
Et c’est pour cela qu’elle est aujourd’hui notre standard sécurité PrestaShop.
Conclusion
- Si votre boutique PrestaShop n’a pas encore de 2FA, ou si elle utilise un module basique… vous devriez peut-être auditer la sécurité de votre boutique.
- Si vous croyez que cela ne vous concerne pas… sachez que c’est tous les mois plus de 1 million d’attaques de contournement MFA (via la technique EvilProxy) détectées globalement.
- Si vous voulez une solution efficace, robuste, facile à adopter… optez pour PrestaFence.
Ne laissez pas votre back-office sans double verrou.
Protégez votre boutique comme elle le mérite. Préservez la confiance de vos clients.