Publié le

Ne plus envoyer le mot de passe par email

Photo by CMDR Shane on Unsplash

Si vous utilisez une "vieille" version de PrestaShop; avant la branche 1.7; vous avez certainement remarqué que le mot de passe saisie par vos clients est envoyé en claire dans l'email de confirmation d'inscription.

C'est une fonctionnalité qui peut faciliter le piratage du compte client, si quelqu'un de mal attentionné tombe dessus, mais ce n'est pas une grosse faille de sécurité puisque les mots de passes sont cryptés dans la base de données.

Néanmoins, vous pouvez améliorer cela en n'envoyant plus cette donnée sensible par email.

Je vous propose une méthode très simple pour corriger cela.

Modification de template

à l'aide de votre client FTP préféré, vous devez intervenir sur les fichiers //mails/code langue/account.html et //mails/code langue/account.txt; code langue correspondant au code iso de la langue à modifier, il est évident que si vous avez plusieurs langues, vous devez intervenir dans les fichiers de chaque langue.
Il est préférable de les copier dans le répertoire de votre template pour conserver cette modification malgrè les mises à jour de PrestaShop.
Donc, il faut les enregistrer dans le répertoire //themes/votre template/mails/code langue/account.html et .txt; votre template correspond au nom du répertoire du thème actif dans le backoffice de votre boutique PrestaShop.

Dans ces 2 fichiers vous devez les éditer et modifier ces lignes :

account.html
<td align="left"><strong>Thank you for creating a customer account at {shop_name}.</strong><br /><br /> Here are your login details:<br /><br /> E-mail address: <strong><span style="color: {color};">{email}</span></strong> <br />Password: <strong>{passwd}</strong></td>
à remplacer par
<td align="left"><strong>Thank you for creating a customer account at {shop_name}.</strong><br /><br /> Here are your login details:<br /><br /> E-mail address: <strong><span style="color: {color};">{email}</span></strong> <br />Password: <strong>******</strong></td>

account.txt
Password: {passwd}
à remplacer par
Password: ******

Vous devez faire de même pour les fichiers guest_to_customer.html et .txt. qui est envoyé lorsque un compte invité est transformé en compte client et même password.html et .txt qui sont envoyés lorsque le client change de mot de passe.

 

Discussions