Magento est l’une des plus grandes plateformes de commerce électronique open source au monde, c’est pourquoi elle est devenue une cible attrayante pour les pirates. Quelle que soit la quantité de travail consacrée à la protection de cette plate-forme, les pirates continueront d’essayer de trouver de nouvelles façons de contourner les mesures de sécurité.
Même si Magento possède ses propres fonctionnalités de sécurité (et elles sont parmi les meilleures), vous devez être proactif et prendre des mesures préventives telles que des audits et des tests de sécurité pour évaluer toutes les vulnérabilités de votre boutique.
Effectuer une surveillance régulière et les mises à jour requises en temps opportun est le meilleur moyen de minimiser les risques de piratage de votre boutique Magento.
En tant qu’experts Magento, nous recevons de nombreuses demandes de propriétaires de commerces en ligne Magento qui doivent empêcher le piratage de leurs magasins en compromettant les données de leurs utilisateurs.
C’est la situation : les problèmes de sécurité seront toujours là, nous voulons donc partager avec vous un ensemble d’audits et les étapes les plus importantes que vous devez suivre pour protéger votre boutique en ligne contre les attaques de piratage.
Cet article répertorie les moyens par lesquels les propriétaires de boutiques en ligne, les responsables marketing, les responsables du commerce électronique, etc. peut mettre en œuvre les mesures de sécurité essentielles dans Magento.
CHOISISSEZ UNE INFRASTRUCTURE D’HÉBERGEMENT SÉCURISÉE
Lorsque vous choisissez un fournisseur d’hébergement, assurez-vous qu’il dispose d’un cycle de vie de développement logiciel sécurisé et qu’il fonctionne conformément aux normes de l’industrie (par exemple, les meilleures pratiques de sécurité OWASP).
Si vous êtes en train de créer un nouveau site Web, lancez le site via HTTPS. Cela cryptera votre site Web en toute sécurité et vous aidera à vous classer plus haut sur Google. Pour un site Web existant, nous vous recommandons de mettre à jour le site pour qu’il s’exécute sur HTTPS.
ENVIRONNEMENT SÉCURISÉ
Maintenez votre logiciel entièrement à jour et appliquez TOUS les correctifs de sécurité recommandés. Magento publie régulièrement des correctifs sous forme de correctifs. Nous vous recommandons donc de vérifier si les derniers correctifs sont installés sur votre système.
Désactiver FTP et n’utilisez que des communications sécurisées (SSH / SFTP / HTTPS) pour gérer les fichiers. La raison pour laquelle il est conseillé de le faire est que FTP transmet des données en texte brut, ce qui signifie que des informations sensibles telles que les noms d’utilisateur et les mots de passe peuvent être facilement obtenues.
Si vous utilisez un serveur autre que le serveur Web Apache, assurez-vous que tous les fichiers système et les répertoires sont protégés.
Autorisez uniquement les adresses IP de la liste blanche à accéder au panneau d’administration. Si vous ne savez pas comment gérer ces autorisations, lisez ceci.
met en oeuvre authentification à deux facteurs pour les connexions administrateur. Cela fournira une sécurité supplémentaire car il nécessite un mot de passe supplémentaire qui est généré sur votre téléphone.
Mettez régulièrement à jour votre logiciel antivirus et utilisez un scanner de logiciels malveillants pour sécuriser l’ordinateur que vous utilisez pour accéder au panneau d’administration de Magento.
De plus, pour garantir un système d’exploitation de serveur sécurisé, assurez-vous qu’il n’est pas en cours d’exécution aucun logiciel inutile sur le serveur.
Magento sécurisé
Pour réduire l’exposition aux scripts susceptibles d’essayer de s’introduire via votre URL d’administrateur, utiliser une URL d’administration unique qui ne peut pas être facilement deviné.
Utilisez-en un mot de passe fort pour le compte administrateur Magento. Vous ne devez JAMAIS utiliser de simples mots de passe pour l’administrateur Magento (dates de naissance, prénoms, noms, etc.) et environ une fois par mois, changez vos mots de passe. Enfin, ne partagez pas votre mot de passe avec des tiers. S’il est nécessaire de fournir un accès aux développeurs, créez un utilisateur distinct pour eux et supprimez-le une fois le travail terminé.
Vérifier régulièrement les utilisateurs administrateurs pour vous assurer que seules les bonnes personnes ont accès au panneau d’administration du magasin. Cela peut être un bon moment pour retirer/supprimer les anciens utilisateurs.
Il est important que vous vérifiiez correctement les autorisations pour éviter tout accès non sollicité à votre eCommerce Magento. Cette vérification garantit que tous les groupes d’utilisateurs disposent uniquement des droits d’accès prévus.
Nous vous conseillons de respecter les paramètres de configuration liés à la sécurité de Magento pour la sécurité de l’administrateur, les options de mot de passe et CAPTCHA.
Utilisez le dernière version de magento pour profiter des dernières améliorations de sécurité. Sinon, installez tous les correctifs de sécurité recommandés par Magento.
Enfin, certaines extensions Magento ne sont pas nécessaires ou ne sont plus maintenues par leurs créateurs et présentent donc des vulnérabilités. Il est important de revoir votre liste de plugins et de vérifier s’ils sont à jour. Cela permet de supprimer les extensions abandonnées et de les désinstaller.
SURVEILLANCE DES SYMPTÔMES D’UN MAGENTO HACKÉ
Ecommerce no disponible: Si votre boutique en ligne n’est pas disponible, ou est bloquée par le service d’hébergement, il est possible qu’elle ait été victime d’une attaque par déni de service. Ce type d’attaque perturbe votre présence en ligne, mais ne menace pas la sécurité de vos données.
Panneau d’administration et problèmes de contenu: Si vous découvrez qu’il y a un nouvel utilisateur avec des droits d’administrateur que vous n’avez pas créé, vous remarquez des modifications apportées au contenu de votre boutique, ou vous ne pouvez pas vous connecter, vous pourriez subir une attaque extrêmement dangereuse sur votre boutique en ligne (type d’attaque : accès au panneau d’administration)
Mauvaise performance: l’attaque de redirection piratée vise à capturer le trafic de votre boutique en ligne et à exposer vos clients aux logiciels malveillants, aux attaques de phishing ou au spam publicitaire. Si vous remarquez que votre boutique n’apparaît pas dans les moteurs de recherche ou est redirigée vers des pages non sollicitées, agissez, car il est possible que votre eCommerce ait été piraté.
Vol de données signalé : Vous avez subi ce type d’attaque si vos clients signalent une activité suspecte avec leurs comptes ou s’il y a eu vol d’informations d’identification de carte de crédit. Il s’agit d’attaques par e-mail dans le but d’accéder aux données et d’usurper l’identité.
Il n’est pas nécessaire de commenter dans quelle mesure cela peut affecter votre commerce électronique.
- Vérifiez périodiquement les journaux du serveur pour toute activité suspecte.
- Vérifiez si des utilisateurs administrateurs non autorisés ont été créés. Vous pouvez surveiller ces actions dans le journal des actions administratives.
- Vérifie l’intégrité des données des fichiers sur le serveur pour empêcher l’installation éventuelle de logiciels malveillants.
- Surveille toutes les connexions système (FTP, SFTP, SSH) pour détecter les activités, téléchargements ou commandes inattendus.
ÉLABORER UN PLAN DE REDRESSEMENT
Même si vous avez strictement appliqué toutes les mesures de sécurité, créez un plan de continuité/reprise d’activité, au cas où vous auriez à faire face au pire scénario. Il est indispensable d’avoir une sauvegarde de toutes les informations de votre boutique en ligne Magento. Cela vous aidera à restaurer votre commerce électronique en cas de perte de données.
Assurez-vous qu’il existe des sauvegardes existantes de la base de données et des fichiers du serveur dans un emplacement hors site. Assurez-vous que ces sauvegardes sont réussies et peuvent être restaurées.
En cas d’attaque, aussi petite soit-elle, il réinitialise toutes les informations d’identification, y compris la base de données, l’accès aux fichiers, les clés de chiffrement de la passerelle de paiement, les services Web et la connexion de l’administrateur Magento, FTP, SSH, etc.