Sécurité

Sécurité PrestaShop : checks réguliers

22 mars 2026 — Romain Couzon

Sur beaucoup de boutiques PrestaShop, la sécurité reste un sujet qu’on repousse. Pas par négligence, forcément. Souvent simplement parce que le site tourne, que les commandes tombent, que le back-office répond et qu’aucun incident visible ne vient perturber l’activité.

C’est justement ce qui rend la situation trompeuse.

Une boutique e-commerce peut paraître parfaitement stable tout en accumulant des fragilités techniques. Un module ancien, un correctif jamais appliqué, un thème abandonné, une surcharge oubliée, un composant conservé “au cas où”, un accès admin jamais revu depuis des années. Rien de spectaculaire à première vue. Pourtant, c’est souvent comme ça qu’un environnement devient vulnérable.

Le problème n’est pas seulement qu’une faille existe. Le vrai problème, c’est qu’elle reste exploitable trop longtemps sur une boutique en ligne.

Pourquoi une boutique PrestaShop qui fonctionne peut déjà être exposée

C’est une confusion fréquente chez les marchands : assimiler bon fonctionnement et bon niveau de sécurité.

En réalité, les deux sujets n’ont rien à voir.

Un site peut charger vite, encaisser des paiements, envoyer ses emails et afficher son catalogue sans aucun problème visible, tout en étant techniquement exposé. La sécurité ne se mesure pas à l’absence de panne. Elle se mesure à l’état réel du site, de ses composants, de ses accès et de sa maintenance.

C’est d’ailleurs ce qui rend les environnements anciens plus risqués. Avec le temps, les écarts s’accumulent. On reporte une mise à jour pour éviter de casser l’existant. On garde un module parce qu’il “sert peut-être encore”. On conserve un thème devenu difficile à remplacer. On empile des modifications sans revoir l’ensemble. Et à la fin, on se retrouve avec une boutique qui fonctionne, oui, mais dont personne ne sait vraiment dire si elle est encore saine.

Une faille connue finit presque toujours par être exploitée

Tant qu’une vulnérabilité reste confidentielle, son exploitation reste limitée. À partir du moment où elle devient publique, la logique change complètement.

Elle peut apparaître dans un advisory, une note de version, un changelog, un correctif ou une veille communautaire. Dès lors, elle n’est plus seulement connue des équipes qui la corrigent. Elle devient lisible pour tous ceux qui surveillent ce type d’informations, y compris côté attaque.

Et c’est là que les choses s’accélèrent.

Ce qui est documenté devient plus simple à comprendre. Ce qui est compris devient plus simple à tester. Ce qui est testable devient plus simple à automatiser. Ensuite, il ne reste plus qu’à scanner un grand nombre de sites pour identifier ceux qui n’ont pas suivi.

C’est pour cette raison qu’une boutique non mise à jour devient progressivement plus exposée. Non pas parce qu’elle serait particulièrement visée, mais parce qu’elle entre dans la catégorie des cibles les plus faciles à exploiter.

Le problème n’est donc pas seulement la faille en elle-même. Le problème, c’est le décalage entre le moment où elle est connue et le moment où elle est réellement corrigée sur la boutique. Si votre boutique est sur une version très ancienne, une migration vers une version récente peut être la meilleure réponse à long terme.

Le risque ne vient pas uniquement du core PrestaShop

Quand on parle sécurité PrestaShop, beaucoup regardent d’abord la version du cœur. C’est logique, mais c’est loin d’être suffisant.

Sur le terrain, une boutique est rarement mise en danger par le seul core. Le risque se trouve aussi dans les modules, les développements spécifiques, les surcharges, certains scripts front, les accès au back-office, les fichiers ajoutés au fil du temps et tout ce qui reste en place sans être vraiment maintenu.

Autrement dit, une boutique peut être “pas trop mal” sur sa version PrestaShop tout en étant fragile à cause de son environnement.

C’est souvent le vrai point aveugle. Beaucoup de sites vieillissent par couches successives. Un module installé il y a plusieurs années. Un autre désactivé mais encore présent sur le serveur. Une personnalisation jamais revue. Une ancienne dépendance JavaScript. Un outil d’administration laissé ouvert parce qu’il dépannait à une époque.

Ce n’est pas forcément une seule grosse erreur qui expose la boutique. C’est souvent l’addition de plusieurs petites négligences.

Ce que je constate sur le terrain

Sur la grande majorité des boutiques PrestaShop pour lesquelles je suis contacté, je retrouve le même constat : des failles connues sont présentes et exploitables.

Ce n’est pas une question de compétence du marchand. C’est une conséquence directe du rythme des publications de sécurité. PrestaShop, ses modules tiers et ses dépendances font l’objet de correctifs réguliers. Quand il n’y a pas de maintenance active en face, les écarts s’accumulent mécaniquement.

Ces boutiques ne sont généralement pas maintenues par un prestataire technique. Elles tournent, elles vendent, mais personne ne suit les advisories, personne ne vérifie les composants, personne ne contrôle l’état réel de l’installation.

Et dans ces conditions, ce n’est jamais un seul problème isolé. C’est un ensemble : un module vulnérable ici, un accès oublié là, un thème qui embarque des composants obsolètes, des fichiers techniques laissés accessibles. Le tout sur une base qui n’a pas bougé depuis des mois, parfois des années.

C’est précisément ce type de situation que les checks de sécurité permettent de détecter avant qu’un incident ne se produise. C’est aussi pour ça qu’une maintenance régulière est indispensable sur une boutique en production.

Les thèmes non maintenus sont aussi un sujet de sécurité

C’est un point largement sous-estimé.

Un thème ancien est souvent vu comme un simple sujet graphique ou de compatibilité. En pratique, ce n’est pas si simple. Sur PrestaShop, un thème peut embarquer ses propres modules, ses propres scripts, ses propres réglages, parfois même une logique métier complémentaire. Il ne faut donc pas le regarder comme une simple couche visuelle.

Un thème non maintenu peut poser plusieurs problèmes à la fois.

D’abord, il peut embarquer des composants qui ne sont plus suivis. Ensuite, il peut reposer sur des pratiques anciennes qui ne correspondent plus aux standards actuels. Enfin, il peut compliquer fortement les mises à jour, ce qui pousse souvent le marchand à figer encore davantage son environnement.

C’est là que le risque grandit.

Parce qu’un thème abandonné n’est pas seulement un vieux design. C’est parfois un ensemble de modules, de scripts et de fichiers techniques qui ne sont plus corrigés, plus vérifiés, et plus compatibles avec une maintenance sérieuse du site.

Quand un thème devient intouchable, il finit souvent par bloquer le reste. Et à partir du moment où il bloque les mises à jour, il devient indirectement un sujet sécurité.

Pourquoi les boutiques anciennes accumulent une vraie dette de sécurité

Une boutique qui prend de l’âge sans stratégie claire de maintenance n’accumule pas seulement de la dette technique. Elle accumule de la dette de sécurité.

Et cette nuance est importante.

Une vieille version n’est pas dangereuse uniquement parce qu’elle est ancienne. Elle devient plus risquée parce qu’elle concentre plusieurs années de correctifs non appliqués, de composants vieillissants, de compatibilités fragiles et de choix techniques qui n’ont jamais été remis à plat.

Au fil du temps, cela crée une zone grise. Le site continue de tourner, mais chaque intervention devient plus délicate. On hésite à mettre à jour. On repousse le nettoyage. On évite de toucher à certains modules. Et plus on attend, plus le coût de remise à niveau augmente.

C’est exactement dans ce type de contexte que les checks réguliers deviennent indispensables. Ils permettent de reprendre de la visibilité sur un environnement qui, sinon, finit par dériver sans que personne ne le remarque vraiment.

Un check de sécurité PrestaShop ne consiste pas à regarder un numéro de version

C’est sans doute le point le plus important.

Faire un vrai check de sécurité sur une boutique PrestaShop, ce n’est pas ouvrir le back-office, lire la version installée et conclure que “ça devrait aller”. Ce serait trop simple.

Un contrôle sérieux doit regarder la boutique telle qu’elle existe réellement.

  • Est-ce que le cœur est encore sur une branche correctement suivie ?
  • Est-ce que les modules installés sont tous utiles et maintenus ?
  • Est-ce que certains modules anciens sont encore présents sans raison ?
  • Est-ce que le thème embarque des composants spécifiques oubliés depuis longtemps ?
  • Est-ce que les accès techniques ont été revus ?
  • Est-ce que certains fichiers ont été modifiés de façon anormale ?
  • Est-ce que les journaux montrent des tentatives répétées sur des points sensibles ?
  • Est-ce qu’il existe déjà des indicateurs de compromission passés inaperçus ?

C’est ce travail qui permet de sortir du faux sentiment de sécurité.

Parce qu’en e-commerce, un site qui vend n’est pas automatiquement un site sain. Il peut simplement être un site vulnérable qui n’a pas encore montré de symptôme visible.

Réduire la fenêtre d’exposition, voilà le vrai enjeu

En sécurité, on ne maîtrise pas toujours l’existence d’une vulnérabilité. En revanche, on peut agir sur autre chose : le temps pendant lequel elle reste présente sur le site sans être détectée ni corrigée.

C’est là que tout se joue.

Une boutique bien suivie n’est pas forcément une boutique parfaite. C’est une boutique où les écarts sont vus plus tôt, compris plus vite et traités avant de devenir un incident réel.

À l’inverse, une boutique peu contrôlée laisse s’installer des angles morts. Et ce sont précisément ces angles morts qui finissent par coûter cher : problèmes techniques, perte de confiance, dégradation SEO, indisponibilité, exposition de données ou remise en état urgente après compromission.

L’objectif d’un check de sécurité n’est donc pas de faire peur. Il est beaucoup plus simple que ça : savoir où en est réellement la boutique, identifier ce qui mérite une correction, et éviter qu’un point faible connu reste ouvert trop longtemps.

Besoin d’un regard technique sur votre boutique PrestaShop ?

Si votre boutique n’a pas été revue sérieusement depuis un moment, si elle repose sur une version ancienne, un thème spécifique ou plusieurs modules installés au fil des années, un check de sécurité permet d’identifier rapidement les points de vigilance les plus importants.

L’idée n’est pas de produire un audit anxiogène ou un rapport inutilement complexe. L’objectif est simple : savoir ce qui doit être corrigé, ce qui peut attendre, et ce qui mérite une vraie remise à plat.

Discuter de la sécurité de votre boutique →

Questions fréquentes

À quelle fréquence faut-il vérifier la sécurité d'une boutique PrestaShop ?
Il n'y a pas de fréquence unique, mais un check trimestriel est un minimum raisonnable. Pour les boutiques avec beaucoup de modules ou un thème ancien, une vérification plus fréquente est recommandée, surtout après la publication d'advisories de sécurité.
Une boutique PrestaShop à jour est-elle forcément sécurisée ?
Non. Le core peut être à jour, mais les modules, le thème, les overrides et les fichiers ajoutés au fil du temps peuvent contenir des failles. La sécurité se vérifie sur l'ensemble de l'environnement, pas seulement sur le numéro de version.
Quels sont les signes qu'une boutique PrestaShop a été compromise ?
Fichiers modifiés sans raison, redirections anormales, emails non envoyés, ralentissements inexpliqués, apparition de fichiers inconnus sur le serveur, ou alertes Google Search Console. Certains compromis restent invisibles pendant des semaines.

Besoin d'aide sur ce sujet ?

Je propose un service dédié pour vous accompagner.

Maintenance PrestaShop

Un doute sur la sécurité de votre boutique ?

Réponse sous 24h — Premier retour clair sur votre besoin

Demander un diagnostic de sécurité