Modules Shop › PrestaShop : la sécurité par le htaccess

La dernière version de Prestashop offre globalement un haut niveau de performances, et de bonnes bases en terme de sécurité, mais voici quelques petites améliorations que l’on peut apporter afin de limiter les risques.

Attention, ces astuces touchent directement à la configuration de votre serveur, aussi il convient de tester chaque ligne à rajouter dans votre .htaccess qui suit avant une mise en production définitive (si vous affichez une page blanche ou une erreur HTTP 500, alors votre serveur ne prend pas en charge la ligne de commande ajoutée !).

la premiere chose va consister à inhiber la signature du serveur afin de compliquer la tâche à d’éventuels pirate

# DÉSACTIVATION DE LA SIGNATURE DU SERVEUR
ServerSignature Off

la deuxième astuce consiste à limiter les possibilités de mise sous frame afin d’éviter toute tentative de « clickjacking », de failles XSS (ne concerne qu’Internet Explorer dans ses versions 8 et 9) et de risques de « MIME sniffing » (en clair, faire passer un fichier de script pour une image…) :

# Empêche la mise sous frames (clickjacking)
Header always append X-Frame-Options SAMEORIGIN 
# Désactivation du "MIME sniffing"
Header set X-Content-Type-Options "nosniff" 
# Blocage des attaques XSS (nb : propre à Internet Explorer 8/9)
Header set X-XSS-Protection "1; mode=block" 
# Blocage des requêtes typiques de traçage et de debug
RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK|DEBUG) [NC]RewriteRule ^(.*)$ - [F,L]