👤 Empleados, perfiles y permisos
Cada persona que accede al Back Office de PrestaShop deberia tener su propia cuenta individual con los permisos minimos necesarios para realizar su trabajo. Compartir cuentas o usar la cuenta de SuperAdmin para todo es un riesgo de seguridad importante y dificulta la auditoria de cambios. Esta guia explica como configurar correctamente la gestion de acceso a tu tienda.
#Por que gestionar empleados correctamente
| Razon | Explicacion |
|---|---|
| Seguridad | Si un empleado comete un error o su cuenta se ve comprometida, el daño se limita a sus permisos |
| Auditoria | Puedes rastrear quien hizo cada cambio en la tienda (cambios de estado, ediciones de producto, etc.) |
| Productividad | Cada empleado ve solo las secciones relevantes para su trabajo, sin distracciones |
| Cumplimiento legal | Algunas regulaciones exigen control de acceso a datos personales (RGPD, PCI DSS) |
| Offboarding | Al dejar la empresa, desactivas su cuenta individual sin afectar a nadie mas |
#Crear y gestionar empleados
Los empleados se gestionan desde Parametros avanzados > Equipo > Empleados.
| Campo | Obligatorio | Notas |
|---|---|---|
| Nombre | Si | Nombre real del empleado |
| Apellidos | Si | Apellidos del empleado |
| Si | Se usa para login y para recibir notificaciones (nuevos pedidos, stock bajo, etc.) | |
| Contrasena | Si | Minimo 8 caracteres. Recomendado: 12+ con mayusculas, minusculas, numeros y simbolos |
| Perfil | Si | Determina los permisos: SuperAdmin, Logistica, Vendedor, etc. |
| Pagina por defecto | Si | La primera pagina que ve al loguearse. Ej: Dashboard para admin, Pedidos para logistica |
| Idioma del BO | Si | Idioma de la interfaz del Back Office para este empleado |
| Activo | Si | Desactivar impide el login sin eliminar la cuenta |
| Avatar | No | Imagen de perfil que aparece en el Back Office |
| Suscripcion a newsletter PS | No | Recibir noticias de PrestaShop sobre actualizaciones y modulos |
La cuenta de SuperAdmin tiene acceso total e irrestricto a toda la tienda, incluyendo la eliminacion de datos, instalacion de modulos y acceso a la base de datos. Si multiples personas usan esta cuenta, no podras saber quien hizo cada cambio. Crea cuentas individuales con perfiles adecuados para cada miembro del equipo.
#Perfiles predefinidos vs personalizados
PrestaShop incluye un perfil predefinido (SuperAdmin) y te permite crear tantos perfiles personalizados como necesites. Los perfiles se gestionan desde Parametros avanzados > Equipo > Perfiles.
| Perfil sugerido | Acceso a | Sin acceso a | Para quien |
|---|---|---|---|
| SuperAdmin | Todo — acceso completo e irrestricto | Nada | Propietario, CTO o administrador principal. Maximo 1-2 personas |
| Gestor de tienda | Pedidos, clientes, catalogo, descuentos, estadisticas | Modulos, temas, configuracion avanzada, empleados | Responsable de operaciones diarias |
| Logistica | Pedidos (ver y cambiar estado), stock, transportistas | Precios, clientes completos, modulos, configuracion | Personal de almacen y envios |
| Atencion al cliente | Clientes (ver), pedidos (ver y anadir mensajes), devoluciones | Productos, precios, modulos, configuracion | Equipo de soporte y postventa |
| Marketing | Descuentos, reglas de precios, paginas CMS, estadisticas, newsletter | Configuracion tecnica, modulos, empleados | Equipo de marketing y contenido |
| Content Manager | Productos (crear/editar), categorias, imagenes, CMS | Pedidos, clientes, configuracion, precios | Creador de contenido y catalogo |
| Desarrollador | Modulos, temas, parametros avanzados, webservice | Datos de clientes reales, pedidos con datos personales | Agencia o freelance tecnico |
| Solo lectura | Todo en modo visualizacion | Crear, editar o eliminar nada | Contable, auditor, consultor externo |
Parametros avanzados > Equipo > Perfiles > Anadir nuevo perfil
1. Nombre: 'Logistica'
(multiidioma si tienes el BO en varios idiomas)
2. Guardar
3. Ir a Parametros avanzados > Equipo > Permisos
- Seleccionar el perfil 'Logistica' en el desplegable
- Marcar/desmarcar permisos por seccion:
Pedidos: VER [x] ANADIR [ ] EDITAR [x] ELIMINAR [ ]
Stock: VER [x] ANADIR [ ] EDITAR [x] ELIMINAR [ ]
Productos: VER [x] ANADIR [ ] EDITAR [ ] ELIMINAR [ ]
Clientes: VER [ ] ANADIR [ ] EDITAR [ ] ELIMINAR [ ]
Transportistas: VER [x] ANADIR [ ] EDITAR [ ] ELIMINAR [ ]
Modulos: VER [ ] ANADIR [ ] EDITAR [ ] ELIMINAR [ ]
Configuracion: VER [ ] ANADIR [ ] EDITAR [ ] ELIMINAR [ ]
Empleados: VER [ ] ANADIR [ ] EDITAR [ ] ELIMINAR [ ]
4. Guardar permisos
5. Crear empleado con este perfil:
Parametros avanzados > Equipo > Empleados > Anadir nuevo
- Perfil: Logistica
- Pagina por defecto: Pedidos#Configurar permisos por pagina y accion
La matriz de permisos (Parametros avanzados > Equipo > Permisos) define exactamente que puede hacer cada perfil en cada seccion del Back Office.
| Permiso | Que permite | Ejemplo |
|---|---|---|
| VER | Acceder a la pagina y visualizar los datos | Ver la lista de pedidos, abrir el detalle de un pedido |
| ANADIR | Crear nuevos registros | Crear un producto nuevo, registrar un cliente manualmente |
| EDITAR | Modificar registros existentes | Cambiar el estado de un pedido, editar el precio de un producto |
| ELIMINAR | Borrar registros | Eliminar un producto, borrar una direccion de cliente |
La matriz se presenta como una tabla con todas las secciones del BO en filas y las 4 acciones en columnas. Para cada combinacion de perfil-seccion-accion puedes activar o desactivar el permiso individualmente.
Asigna siempre los permisos minimos necesarios para que el empleado pueda realizar su trabajo. Es mas facil (y mas seguro) empezar con pocos permisos y anadir mas cuando sea necesario, que dar acceso completo y luego intentar restringirlo. Revisa los permisos trimestralmente.
#Permisos de modulos
Ademas de los permisos por seccion del BO, hay una pestana separada para los permisos de modulos. Puedes controlar que perfiles tienen acceso a ver, configurar, desinstalar o desactivar cada modulo instalado.
| Permiso de modulo | Que permite |
|---|---|
| Ver | Acceder a la pagina de configuracion del modulo |
| Configurar | Modificar los ajustes del modulo |
| Desinstalar | Eliminar el modulo del sistema |
| Activar/Desactivar | Habilitar o deshabilitar el modulo sin desinstalarlo |
Solo los perfiles de SuperAdmin y Desarrollador deberian tener permiso para instalar modulos. Un modulo malicioso puede comprometer toda la tienda, robar datos de clientes o inyectar codigo. El permiso de instalacion de modulos es el mas critico despues del acceso a base de datos.
#Seguridad del Back Office
El Back Office es la puerta de entrada a toda la informacion sensible de tu tienda: datos de clientes, pedidos, configuracion financiera y mas. Protegerlo adecuadamente es fundamental.
| Medida de seguridad | Como implementarla | Nivel de importancia |
|---|---|---|
| Renombrar la carpeta admin | Ya viene con nombre aleatorio en la instalacion (ej: admin473xk). NUNCA cambiarlo a /admin | Critica |
| SSL obligatorio | Preferencias > General > Activar SSL en todas las paginas. Redirigir HTTP a HTTPS | Critica |
| Contrasenas fuertes | Minimo 12 caracteres con mayusculas, minusculas, numeros y simbolos. Cambiar cada 90 dias | Critica |
| No reutilizar contrasenas | La contrasena del BO no debe usarse en ningun otro servicio | Alta |
| Limitar intentos de login | Modulo de seguridad o configuracion del servidor (fail2ban) | Alta |
| HTTPS en todo el sitio | Certificado SSL (Let's Encrypt gratuito o comercial) | Critica |
| Actualizaciones al dia | Mantener PrestaShop y todos los modulos actualizados | Alta |
| Backup regular | Backup diario de BD y archivos. Probar la restauracion periodicamente | Critica |
| Restringir acceso por IP | En .htaccess del directorio admin, limitar a IPs conocidas | Media (si es posible) |
# Colocar en el .htaccess dentro de la carpeta admin
# Solo permite acceso desde las IPs especificadas
<IfModule mod_authz_core.c>
# Apache 2.4+
Require ip 83.45.123.456
Require ip 91.78.234.567
Require ip 10.0.0.0/8
</IfModule>
<IfModule !mod_authz_core.c>
# Apache 2.2
Order deny,allow
Deny from all
Allow from 83.45.123.456
Allow from 91.78.234.567
Allow from 10.0.0.0/8
</IfModule>
Nota: Si trabajas con IP dinamica, esta medida puede
ser impractica. En ese caso, considera usar VPN para
obtener una IP fija desde la que acceder al BO.#Autenticacion en dos factores (2FA)
La autenticacion en dos factores anade una capa extra de seguridad: ademas de la contrasena, el empleado necesita un codigo temporal generado por una app en su movil.
| Aspecto | Detalle |
|---|---|
| Que es 2FA | Despues de introducir email y contrasena, se pide un codigo de 6 digitos que cambia cada 30 segundos |
| Apps compatibles | Google Authenticator, Microsoft Authenticator, Authy, 1Password |
| Como activar en PS | Instalar un modulo de 2FA desde el marketplace (ej: Google Authenticator for Back Office) |
| Configuracion por empleado | Cada empleado escanea un codigo QR con su app y queda vinculado |
| Codigos de recuperacion | El modulo genera codigos de un solo uso por si se pierde acceso al movil |
| Para quien activar | Minimo para SuperAdmin y cualquier perfil con acceso a datos sensibles o configuracion |
| Coste | Algunos modulos 2FA son gratuitos, otros son de pago (15-40 EUR) |
La cuenta de SuperAdmin tiene poder absoluto sobre la tienda. Si alguien obtiene la contrasena (phishing, brecha de datos, fuerza bruta), puede causar dano irreparable. El 2FA hace que la contrasena sola no sea suficiente para acceder. Es la medida de seguridad con mejor relacion coste/beneficio.
#Gestion de sesiones
| Configuracion | Donde | Recomendacion |
|---|---|---|
| Duracion de la sesion | php.ini: session.gc_maxlifetime | 3600 segundos (1 hora) para el BO. Sesiones largas son un riesgo |
| Cierre automatico por inactividad | Depende del modulo/configuracion del servidor | Cerrar sesion tras 30-60 minutos de inactividad |
| Una sesion por empleado | Depende de la configuracion de PS y modulos | Evitar que la misma cuenta este logueada en multiples dispositivos |
| Cookie segura | php.ini: session.cookie_secure = 1 | La cookie de sesion solo se envia por HTTPS |
| HttpOnly | php.ini: session.cookie_httponly = 1 | La cookie no es accesible desde JavaScript (proteccion XSS) |
| Cerrar sesion al salir | Habito del empleado | Siempre cerrar sesion al terminar de trabajar, especialmente en equipos compartidos |
#Buenas practicas y auditoria
1. Una cuenta por persona — nunca compartir credenciales. 2. Usar perfiles con permisos minimos necesarios. 3. Activar 2FA al menos para SuperAdmin. 4. Desactivar inmediatamente cuentas de exempleados. 5. Revisar permisos trimestralmente. 6. Cambiar contrasenas cada 90 dias. 7. No usar la cuenta de SuperAdmin para tareas diarias. 8. Mantener un registro de quien tiene acceso al BO.
| Evento | Accion recomendada |
|---|---|
| Nuevo empleado se incorpora | Crear cuenta con perfil adecuado. Formar sobre el uso del BO. Documentar el acceso |
| Empleado cambia de puesto | Revisar y ajustar permisos al nuevo rol. No acumular permisos del puesto anterior |
| Empleado deja la empresa | Desactivar cuenta inmediatamente. Cambiar contrasenas compartidas (si las habia). Revocar acceso VPN/SSH |
| Sospecha de acceso no autorizado | Cambiar todas las contrasenas. Revisar logs. Verificar que no se hayan instalado modulos maliciosos |
| Revision trimestral | Listar todos los empleados activos. Verificar que los permisos siguen siendo adecuados. Eliminar cuentas inactivas |
SELECT
e.id_employee,
e.firstname,
e.lastname,
e.email,
p.name AS perfil,
e.last_connection_date AS ultima_conexion,
e.active
FROM ps_employee e
INNER JOIN ps_profile_lang p
ON p.id_profile = e.id_profile
AND p.id_lang = 1
ORDER BY e.active DESC, e.last_connection_date DESC;Cuando contratas una agencia o freelance para trabajar en tu tienda, crea una cuenta especifica con perfil 'Desarrollador' limitado a modulos y configuracion tecnica, sin acceso a datos de clientes ni pedidos reales. Al terminar el proyecto, desactiva la cuenta. Nunca compartas tu cuenta de SuperAdmin con terceros.