COMMENT PROTÉGER VOTRE MAGASIN MAGENTO CONTRE LE PIRATAGE

Magento est l'une des plus grandes plates-formes de commerce électronique open source au monde, devenant un régal pour les yeux des pirates malveillants. Quelle que soit la quantité de travail consacrée à la sécurisation de cette plate-forme, les pirates continueront d'essayer de trouver de nouvelles façons d'échapper aux mesures de sécurité.

Malgré le fait que Magento possède ses propres fonctionnalités de sécurité (et elles sont parmi les meilleures), vous devez toujours être proactif et prendre des mesures préventives telles que des audits et des tests de sécurité afin d'évaluer toutes les vulnérabilités.

En tant qu'experts de Magento, nous recevons de nombreuses demandes de propriétaires de commerce électronique Magento qui doivent empêcher leurs magasins de futures attaques de piratage qui mettent en péril les données de leurs utilisateurs.

Voici donc la situation : les problèmes de sécurité seront toujours présents, raison pour laquelle nous voulons partager avec vous un ensemble d'audits et des mesures importantes que vous pouvez prendre pour protéger votre boutique en ligne contre le piratage.

Cet article répertorie les moyens par lesquels les propriétaires de magasins, les responsables marketing, les responsables du commerce électronique, etc. peuvent mettre en œuvre les mesures de sécurité essentielles de Magento.

CHOISISSEZ UNE INFRASTRUCTURE D'HÉBERGEMENT SÉCURISÉE

Lorsque vous choisissez un fournisseur d'hébergement, assurez-vous qu'il dispose d'un cycle de vie de développement logiciel sécurisé et qu'il travaille conformément aux normes de l'industrie (c'est-à-dire les meilleures pratiques de sécurité OWASP).

Si vous êtes en train de créer un nouveau site Web, lancez le site via HTTPS. Cela cryptera votre site en toute sécurité et l'aidera à obtenir un meilleur classement Google. Pour un site Web existant, nous vous conseillons de mettre à jour le site pour qu'il fonctionne en HTTPS.

ENVIRONNEMENT SÉCURISÉ

Gardez tous les logiciels à jour et appliquez TOUS les correctifs de sécurité recommandés. Magento publie régulièrement des correctifs sous forme de correctifs. Il est donc recommandé de vérifier si tous les derniers correctifs sont installés sur votre système.

Désactivez FTP et n'utilisez que des communications sécurisées (SSH/SFTP/HTTPS) pour gérer les fichiers. La raison pour laquelle il est conseillé de le faire est que le FTP simple transmet les données en clair, ce qui signifie que les informations sensibles telles que les noms d'utilisateur et les mots de passe des utilisateurs peuvent être facilement obtenues.

Si vous utilisez un serveur différent du serveur Web Apache, assurez-vous que tous les fichiers et répertoires système sont protégés .

Autorisez uniquement les adresses IP de la liste blanche à accéder au panneau d'administration. Si vous ne savez pas comment gérer ces autorisations, lisez ceci.

Implémentez une authentification à deux facteurs pour les connexions administrateur. Cela fournira une sécurité supplémentaire nécessitant un mot de passe supplémentaire généré sur votre téléphone.

Mettez régulièrement à jour votre logiciel antivirus et utilisez un scanner de logiciels malveillants afin de sécuriser l'ordinateur que vous utilisez pour accéder au tableau de bord d'administration de Magento.

De plus, pour garantir la sécurité du système d'exploitation du serveur, assurez-vous qu'aucun logiciel inutile n'est exécuté sur le serveur.

Magento sécurisé

Pour réduire l'exposition aux scripts qui pourraient essayer de s'introduire via votre URL d'administration, utilisez une URL d'administration unique qui ne peut pas être facilement devinée.

Utilisez un mot de passe fort pour le compte administrateur Magento. Vous ne devez JAMAIS utiliser de simples mots de passe pour l'administrateur de Magento (dates de naissance, noms, prénoms, etc.) et environ une fois par mois, changez vos mots de passe. De plus, ne partagez pas votre mot de passe avec des tiers. S'il est nécessaire de fournir un accès aux développeurs, créez un utilisateur distinct pour eux et supprimez-le une fois le travail terminé.

Vérifiez régulièrement les utilisateurs administrateurs pour vous assurer que seules les bonnes personnes ont accès au panneau d'administration du magasin. Cela peut être un bon moment pour retirer/supprimer les anciens utilisateurs.

Il est crucial de vérifier le niveau d'autorisation approprié afin d'empêcher tout autre accès non sollicité à votre e-commerce Magento. Cette vérification garantit que tous les groupes d'utilisateurs se voient accorder uniquement les droits d'accès prévus.

Respectez les paramètres de configuration liés à la sécurité de Magento pour la sécurité de l'administrateur, les options de mot de passe et CAPTCHA.

Utilisez la dernière version de Magento pour profiter des améliorations de sécurité les plus récentes. Sinon, installez tous les correctifs de sécurité recommandés par Magento.

Enfin, certaines extensions Magento ne sont plus nécessaires ou ne sont plus maintenues par leurs créateurs et présentent donc des vulnérabilités. Il est important de revoir votre liste de modules complémentaires et de vérifier s'ils sont à jour. Cela aide à supprimer les extensions abandonnées et à les désinstaller.

SURVEILLEZ LES SIGNES OU LES SYMPTÔMES D'UN SITE MAGENTO HACKÉ

Indisponibilité de la boutique en ligne : Si votre boutique est constamment indisponible ou bloquée par le service d'hébergement, vous avez peut-être été victime d'une attaque par déni de service. Ce type d'attaque perturbera votre présence en ligne mais ne menacera pas la sécurité de vos données.

Panneau d'administration et problèmes de contenu : Si vous découvrez qu'il y a un nouvel utilisateur avec des droits d'administrateur que vous n'avez pas créé, remarquez des modifications apportées au contenu de votre boutique, ou vous n'êtes peut-être même pas en mesure de vous connecter, vous souffrez peut-être d'un attaque dangereuse pour votre site Web et votre entreprise (Panneau d'administration Break in)

Mauvaises performances : L'attaque Hacked Redirect vise à capter le trafic de votre boutique et à exposer vos clients à des logiciels malveillants, des attaques de phishing ou des spams publicitaires. Si vous remarquez que votre boutique n'apparaît pas sur les moteurs de recherche ou qu'elle est redirigée vers des pages non sollicitées, agissez, vous avez peut-être été piraté.

Vol de données signalé : vous avez subi cette attaque si vos clients signalent des activités suspectes avec leurs comptes ou si leurs identifiants de carte de crédit ont été volés. Il s'agit d'attaques par e-mail dans le but d'accéder aux données et d'usurper l'identité.

Inutile de remarquer à quel point cela pourrait affecter votre site de commerce électronique.

• Examinez périodiquement les journaux du serveur pour toute activité suspecte.
• Vérifiez si des utilisateurs administrateurs non autorisés ont été créés. Vous pouvez surveiller le journal des actions d'administration.
• Vérifiez l'intégrité des données des fichiers sur le serveur pour éviter l'installation potentielle de logiciels malveillants.
• Surveillez toutes les connexions système (FTP, SFTP, SSH) pour détecter toute activité, téléchargement ou commande inattendus

ÉLABORER UN PLAN DE REDRESSEMENT

Même si vous avez appliqué des mesures de sécurité strictes, créez un plan de reprise/continuité des activités pour le pire des cas. il est essentiel que toutes les données de votre boutique en ligne soient sauvegardées. Cela vous aidera à restaurer votre boutique en ligne en cas de perte de données.

Assurez-vous qu'il existe des sauvegardes existantes des fichiers de base de données et de serveur dans un emplacement externe. Assurez-vous que ces sauvegardes sont effectuées correctement et peuvent être restaurées.

En cas d'attaque, aussi petite soit-elle, réinitialisez toutes les informations d'identification, y compris celles de la base de données, l'accès aux fichiers, les clés de cryptage de la passerelle de paiement, les services Web et la connexion administrateur Magento, FTP, SSH, etc.