Top 10 des conseils de sécurité essentiels de Magento pour sécuriser votre site Web de commerce électronique

Publié: 2018-09-27
E-BOUTIQUE (1) Nous savons que la majorité de nos lecteurs se soucie de la sécurité de son entreprise. Ce n'est un secret pour personne que le type d'entreprise le plus populaire est une boutique en ligne. Nous voulons donc partager avec vous quelques conseils sur la sécurité de la boutique en ligne Magento. Notre invité - Alex Letitov vous expliquera comment protéger votre entreprise des cybercriminels.
Des milliers d'entreprises de commerce électronique utilisent la plate-forme Magento pour leurs boutiques en ligne. Des transactions d'une valeur de plusieurs millions sont exécutées chaque jour dans ces magasins. S'il y a de l'argent, il y aura des risques. La cybercriminalité pourrait gâcher la réussite de votre entreprise à tout moment. Même si toutes les plates-formes de commerce électronique, y compris Magento, vous offrent des fonctionnalités de sécurité robustes et continuent de les mettre à jour fréquemment, vous ne pouvez pas vraiment espérer vivre avec cela. Une cyberattaque de base sur votre boutique Magento pourrait interrompre les opérations commerciales, entraîner le vol de données client et des sanctions pénales ultérieures, en plus du vol d'argent des portefeuilles en ligne des clients. De plus, si votre magasin fait la une des journaux parce qu'il a été victime de cyberattaques, sa réputation en subira un énorme coup. Heureusement, vous pouvez faire beaucoup pour renforcer la sécurité de votre boutique Magento. Je couvrirai les 10 conseils de sécurité Magento les plus importants qui assureront la sécurité de votre boutique.

Continuez à patcher votre installation Magento vers la dernière version

Magento doit sa réputation de constructeur de sites Web de commerce électronique stellaire à sa capacité à continuer à améliorer la sécurité du système via des mises à jour de sécurité, des mises à jour de version et des correctifs. La mesure la plus importante que vous puissiez prendre pour maintenir la sécurité de votre boutique Magento dans son meilleur état est de la mettre à niveau vers la dernière version, dès aujourd'hui. Les mises à niveau de Magento consistent en :
  • Correctifs liés à la maintenance
  • Corrections de bogues
  • Correctifs de sécurité prenant en charge les dernières vulnérabilités exploitées par les cybercriminels
Naturellement, les propriétaires de magasins de commerce électronique ne veulent pas apprendre une nouvelle interface lorsqu'ils sont à l'aise avec ce qu'ils ont actuellement. Magento excelle ici car ses mises à niveau sont accompagnées de notes de mise à jour complètes. Ces notes vous aident à comprendre clairement ce qui a changé dans le système afin que vous puissiez décider si vous êtes à l'aise avec la mise à niveau. En fin de compte, tout responsable de boutique en ligne conviendra qu'il est beaucoup plus important de rester en sécurité que de s'adapter aux modifications mineures de l'interface (le cas échéant) résultant des mises à niveau de version. La page des ressources techniques de Magento est un bon lien vers un signet afin que vous puissiez facilement vérifier les dernières informations sur les versions.

Modifier le chemin de connexion administrateur par défaut

02_admin_login_path Vous pouvez rendre très difficile l'accès des pirates à votre boutique en modifiant la page de connexion par défaut. Le lien de la page de connexion administrateur par défaut de votre boutique Magento ressemblera à www.storename.com/index.php/admin/. Utilisez plutôt une URL personnalisée afin qu'un pirate ne puisse pas simplement accéder à cette page et lancer une attaque par force brute pour pénétrer dans le backend. Vous pouvez le faire à partir des paramètres système ; allez dans Config, choisissez Admin, puis URL de base de l'administrateur, et choisissez "Utiliser le chemin d'administration personnalisé". Une autre façon de procéder consiste à accéder au fichier de configuration local.xml et à rechercher le bloc de code suivant. <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> Ici, remplacez [admin] par le nouveau chemin d'administration . Enregistrez le fichier de configuration modifié et actualisez le cache ; vous avez terminé.

Ajouter Secure Socket Layer (SSL)

En tant que propriétaire de boutique Magento, il est de votre responsabilité de vous assurer que les données de vos acheteurs sont transmises en toute sécurité de la boutique à vos autres systèmes informatiques. Pour ce faire, vous devez ajouter SSL à votre boutique Magento. En utilisant le cryptage SSL, vous vous assurez que même si un tiers est en mesure d'intercepter et d'accéder aux données, il ne sera pas en mesure de donner un sens aux chaînes de données brouillées. Pour activer SSL, accédez à Systèmes > Configuration > Web > Sécurisé. Ici, cochez « oui » pour Utiliser des URL sécurisées dans le frontend/Utiliser des URL sécurisées dans l'administration. Une fois que vous avez activé SSL, l'URL de votre boutique Magento sera accompagnée de l'icône de cadenas vert très recherchée à droite dans la barre d'adresse des navigateurs Web. Cela contribue à renforcer la confiance dans votre boutique en ligne.

Utilisez des mots de passe super forts

04_use_super_strong_passwords Cela apparaît comme un conseil un peu évident. Cependant, il est surprenant de constater que plusieurs propriétaires de magasins Magento continuent de commettre des erreurs de mot de passe, ce qui compromet la sécurité de leur magasin. Bien que Magento nécessite un mot de passe de 7 caractères minimum, nous vous conseillons vivement d'opter pour un mot de passe plus long. Voici quelques bonnes pratiques à retenir :
  • Utilisez un mélange de majuscules et d'alphabets en minuscules, de chiffres et de symboles spéciaux dans votre mot de passe.
  • N'incluez pas votre nom personnel, votre marque ou votre entreprise dans le mot de passe.
  • N'incluez pas de chaînes séquentielles, telles que 1234 et qwerty dans votre mot de passe.
En dehors de ceux-ci, vous pouvez utiliser la configuration de sécurité Admin dans Magento pour gérer vos paramètres de mot de passe. Par exemple, vous pouvez améliorer la sécurité de votre boutique contre les tentatives d'effraction par force brute en limitant le nombre de tentatives de connexion autorisées dans une session, après quoi le compte est verrouillé. Vous pouvez également configurer votre page de connexion administrateur pour exiger qu'un CAPTCHA soit rempli.

Complétez les mots de passe forts avec l'authentification à 2 facteurs

05_2-factor_authentication En ajoutant une autre couche de sécurité à votre boutique Magento, vous pouvez réduire les risques d'intrusion. L'authentification à 2 facteurs est une méthode simple et fiable pour ce faire. Tout ce dont vous avez besoin est une extension Magento fiable pour configurer l'authentification à 2 facteurs. Cela signifie qu'un utilisateur aura besoin d'un mot de passe, ainsi que d'un mot de passe à usage unique (OTP) généré dynamiquement. Cet OTP est envoyé sur le téléphone mobile de l'utilisateur via un SMS (ou un e-mail). Cela signifie essentiellement que vous devez connaître quelque chose (vos identifiants de connexion) et posséder quelque chose (votre appareil) pour pouvoir accéder à la console d'administration de Magento. Vous pouvez essayer Rublon, une extension de sécurité Magento qui vous permet d'ajouter des appareils de confiance pour vous connecter au backend Magento à l'aide d'une application. Magento Hackathon est une autre bonne option, qui vous permet de configurer des règles d'authentification multi-facteurs complexes, y compris la possibilité d'envoyer un code à usage unique à l'appareil enregistré de l'utilisateur.

Sauvegardez régulièrement votre boutique en ligne Magento

06_regularly_backup_your_magento Mieux vaut être préparé que désolé; créez régulièrement des sauvegardes de vos données Magento 2. Cela garantit que dans le cas malheureux d'un vol de données, vous avez la possibilité de revenir en arrière et de restaurer votre boutique en ligne dans un état stable récent. Les sauvegardes automatiques sont l'une des fonctionnalités de sécurité de Magento disponibles pour les propriétaires de magasins. Faites-le depuis le panneau d'administration de Magento 2. Allez dans Outils et sélectionnez Sauvegardes. La meilleure partie - vous pouvez automatiser et planifier l'activité de sauvegarde pour qu'elle ait lieu quotidiennement, hebdomadairement, mensuellement ou une seule fois. En outre, vous pouvez créer une sauvegarde à l'aide de n'importe quelle extension Magento 2 fiable pour créer une sauvegarde.

Utiliser un pare-feu pour empêcher l'injection SQL

Les pirates peuvent exécuter des commandes codées qui peuvent altérer le backend de votre boutique Magento, compromettant ainsi sa sécurité. Le backend de Magento est intrinsèquement sécurisé contre les attaques par injection SQL, mais cela ne signifie pas que vous ne pouvez pas le renforcer. Utilisez un pare-feu pour vous assurer que chaque attaque par injection SQL avancée est également annulée. Un pare-feu peut détecter et signaler les instructions SQL non approuvées, bloquer les injections SQL, consigner toutes les activités SQL et vous permettre de créer une liste blanche d'instructions SQL pour éviter les faux négatifs.

Soyez très pointilleux avec les extensions Magento

Les extensions tierces pour Magento sont un USP clé de la plate-forme de commerce électronique open source. Cependant, vous devez faire preuve de prudence lors du choix d'une extension. Avant que vous ne vous en rendiez compte, une fausse extension Magento pourrait devenir une passerelle permettant à un cybercriminel d'accéder aux informations protégées de votre boutique en ligne. Chaque fois que vous souhaitez utiliser une extension, vérifiez les antécédents du développeur. Recherchez également les extensions qui ont été examinées par des examinateurs indépendants de modules complémentaires Magento. Les notes d'utilisation et les avis sont également un bon indicateur de la fiabilité de l'extension.

Utilisez les options de sécurité avancées pour rendre Magento plus sécurisé

Magento vous propose plusieurs paramètres de sécurité avancés qui peuvent rendre la boutique plus sécurisée que jamais. Voici quelques-uns de ces paramètres, ainsi que d'autres bonnes pratiques de sécurité à prendre en compte :
  • Restreindre l'accès au panneau d'administration par adresse IP, afin qu'il ne soit accessible qu'à partir d'un nombre limité et connu de réseaux
  • Utilisez un FTP sécurisé (également appelé SFTP) qui utilise un fichier de clé crypté pour authentifier un utilisateur
  • Verrouillez votre répertoire '/downloader/' pour empêcher les attaques par force brute
  • Analysez régulièrement le site Web à la recherche de codes malveillants
  • Désactivez l'ancien protocole TLS1.0 pour rendre votre magasin conforme à la norme PCI.

Faites un test de sécurité impartial

Après avoir pris toutes ces mesures, les propriétaires de magasins voudraient croire que leurs magasins Magento sont entièrement sécurisés. Ce n'est peut-être pas le cas. Pour révéler les vulnérabilités, engagez un expert en sécurité Magento tiers pour tester votre boutique. Étant donné que ces fournisseurs de services de sécurité ont des intérêts commerciaux à mettre en évidence les vulnérabilités de votre magasin (et à vous proposer ensuite des conseils rémunérés pour les réparer), vous êtes sûr d'obtenir les meilleurs contrôles de qualité. Toutes les failles de sécurité vitales que vous trouvez dans la configuration de votre boutique Magento peuvent ensuite être corrigées, évitant potentiellement une catastrophe de sécurité des données à l'avenir.

Remarques finales

Bien qu'il soit trop difficile d'affirmer qu'un site Web de commerce électronique est 100% sécurisé, les propriétaires de magasins Magento peuvent améliorer les choses pour eux-mêmes et leurs clients en adoptant les meilleures pratiques pour rendre leurs magasins en ligne plus sécurisés. Commencez par ces 10 conseils ; ceux-ci garantiront la sécurité des données de vos clients et empêcheront les pirates de pénétrer dans votre boutique en ligne.