Comment créer des accès sécurisés et restreints sur PrestaShop ?
Tout au long du cycle de vie de votre site internet, de nombreux intervenants sont susceptibles d’intervenir depuis votre Back office. Dans un souci de sécurité, et afin de prévenir de potentielles erreurs irréversibles, il est très important de gérer les profils et permissions afin de n’autoriser l’accès qu’aux éléments nécessaires à chaque intervenant.
Pour cela, PrestaShop met à disposition une gestion des profils via la création de comptes employés par adresse email et mot de passe. Cette gestion permet une personnalisation poussée de ces accès afin d’assurer la sécurité du site.
1. Gestion des comptes sur PrestaShop
La première chose à faire est donc de déterminer le nombre de comptes employés qu’il faudra créer. Vous pouvez par exemple, créer un compte pour chacune des personnes au sein de votre société qui aura besoin d’un accès au back office.
Ensuite, en fonction des intervenants extérieurs, vous pourrez créer un compte pour chacun d’eux : agence de développement, agence webmarketing, etc.
Nous allons vous présenter, pas à pas, les différentes étapes de création. Nous nous baserons ici sur la dernière version de PrestaShop (PrestaShop 1.7). Les différences avec les anciennes versions étant principalement des différences de nommage des éléments.
Rendez-vous dans CONFIGURER > Paramètres avancés > Équipe
Ici, plusieurs onglets s’offrent à vous. Celui qui nous intéresse ici est l’onglet « Employés ». C’est à partir de cet onglet que vous pourrez ajouter un nouvel employé.
Cliquez sur le « + » en haut à droite de votre écran pour ajouter un nouvel employé. Vous pourrez alors créer un nouveau compte en renseignant les éléments suivants :
- Prénom
- Nom
- Adresse e-mail
- Mot de passe
- Profil de permission
En renseignant correctement les Noms et prénoms, vous saurez exactement qui a réalisé les modifications apportées au site.
L’adresse et le mot de passe permettront à l’employé de se connecter au back-office.
Le profil de permission déterminera quelles parties du back office seront accessibles à l’utilisateur. C’est le réglage le plus important.
2. Gestion des profils sur PrestaShop
La gestion des profils se fait dans le deuxième onglet (Profils) de la page Équipe de PrestaShop. Ici, vous allez pouvoir catégoriser les différents comptes employés créés. Par défaut, le Super Admin a accès à la totalité des onglets du menu d’administration de votre site. Vous pourrez ensuite restreindre les possibilités d’actions par type de profil.
PrestaShop propose par défaut quatre profils qui peuvent être utilisés comme tels :
- SuperAdmin : il dispose de l’ensemble des droits d’accès et d’installation sur PrestaShop comme nous l’avons vu plus haut
- Logisticien : ce type de profil pourra accéder aux commandes, aux transporteurs et aux pages de gestion du stock. Le reste du site n’apparaîtra pas lors de sa connexion.
- Traducteur : ce type de profil pourra accéder aux produits, catégories et contenus CMS.
- Commercial : ce type de profil pourra accéder aux produits, catégories, contenus CMS, pages de clients et surtout aux modules et services web.
Ces profils sont assez efficaces et suffisants pour gérer les permissions internes à votre société. En revanche, il subsiste un manque pour les intervenants extérieurs, qui ont besoin d’accès personnalisés et variés à certains éléments du site.
Libre à vous de créer des profils personnalisés pour chaque intervenant. Un intervenant SEO aura sûrement besoin d’accéder aux modules en plus du catalogue, ainsi qu’aux paramètres avancés du site par exemple.
Afin de gérer les différentes autorisations de chaque profil, nous allons nous intéresser au dernier onglet de la page Équipe : les permissions.
3. Gestion des permissions sur PrestaShop
Les permissions des profils sont les accès et actions autorisés selon chaque profil créé. Si les profils par défaut de PrestaShop bénéficient de préréglages, vous pourrez tout de même les personnaliser via cet onglet.
Pour les profils nouvellement créés, toutes les permissions d’accès seront à renseigner depuis cet onglet.
Le seul profil pour lequel les permissions ne pourront pas être modifiées est le profil Super Admin.
Pour chacun des autres profils, vous allez pouvoir gérer les accès de manière très précise selon les autorisations suivantes :
- Affichage
- Ajout
- Edition
- Suppression
- Tout
Nous vous conseillons de prendre le temps nécessaire pour bien personnaliser ces accès afin d’éviter les mauvaises surprises. Évitez de donner des autorisations d’édition ou de suppression à trop d’intervenants afin de garder un contrôle total sur la sécurité de votre site. Privilégiez des accès d’affichage et d’ajouts pour tout ce qui touche au catalogue.
Une fois tous ces éléments configurés, vous pouvez retourner dans le premier onglet « Employés ». Rendez-vous dans chaque compte afin de déterminer le champ « Profil de permission », dans lequel vous pourrez sélectionner les profils précédemment créés et pour lesquels vous aurez géré l’ensemble des permissions et autorisations.
La gestion des accès sécurisés n’est qu’une première étape dans le maintien de la sécurité de votre site. En effet, nous vous conseillons de faire travailler chaque intervenant, quel que soit son profil, sur un clone sécurisé de votre boutique. Pour cela, nous vous recommandons la solution Parachute qui vous permettra également de suivre toutes les modifications effectuées sur cet environnement de pré-production, afin de les valider avant leur publication sur votre site en ligne. Vous vous éviterez ainsi bien des mauvaises surprises !