Guide de sécurité Magento : Comment sécuriser votre site Web contre les pirates
Le 14 septembre 2020 est devenu un jour funeste pour de nombreux marchands Magento. Plus de 2,800 1 magasins Magento XNUMX ont été piraté pour voler les détails de la carte de crédit dans le cadre de la plus grande campagne documentée à ce jour.
Il n’est pas rare que des pirates informatiques fassent des ravages sur les sites de commerce électronique. Maliciels informatiques, virus, vers, chevaux de Troie et bien d'autres fraudes au commerce électronique… il y a beaucoup de choses désagréables qui circulent sur le net. Il y aura toujours quelqu’un qui tentera de profiter d’un système vulnérable ou d’y accéder illégalement avec une intention malveillante.
Si vous ne souhaitez pas participer à la prochaine faille de sécurité de Magento, ce guide est fait pour vous. Poursuivez votre lecture pour découvrir les principales vulnérabilités de sécurité de Magento et les moyens de les prévenir afin que vos données et celles de vos clients soient en sécurité.
Tout d’abord, quel est le problème avec la sécurité de Magento 1 ?
Le principal problème de Magento 1 est qu’il n’est plus supporté. Dès le 20 juin 2020, Adobe a annoncé la fin de vie de son produit Magento 1, rendant ainsi l'édition plateforme obsolète et vulnérable aux cyberattaques.
Voilà la raison d’une attaque MageCart mentionnée plus tôt. Les boutiques Magento obsolètes restent des cibles attractives pour ceux qui sont déterminés à voler les données personnelles et financières des clients en ligne.
Les pirates peuvent facilement rechercher des versions obsolètes de Magento et utiliser des robots automatisés pour y accéder, télécharger des scripts shell et installer le logiciel malveillant d'écrémage de carte. Les attaques par écrémage de carte sont indétectables par les utilisateurs finaux, il incombe donc aux opérateurs de sites Web de mettre à jour leurs systèmes avec la dernière version de Magento. À ce stade, tout site Web utilisant Magento 1.x doit être considéré comme compromis.
— Paul Bischoff, défenseur de la vie privée chez Comparitech.
C'est pourquoi la protection des boutiques Magento devrait être la priorité n°1 des commerçants. Magento 1 n'est pas sécurisé et ne le sera jamais. Mais Magento 2 vous gardera entre de bonnes mains.
Leçons apprises et mises en œuvre dans la sécurité de Magento 2
Si vous êtes piqué par une tique, le fait de vous retirer n’arrêtera pas l’infection. La même chose s'est produite avec Magento. Une fois la vulnérabilité critique trouvée dans Magento, une mise à niveau était nécessaire. Adobe a donc réorganisé l'ensemble du système pour éliminer les problèmes de sécurité de Magento et protéger ses commerçants contre des attaques similaires à l'avenir.
Voici les fonctionnalités de sécurité de Magento introduites par Adobe après la fin de vie de Magento 1.
Gestion améliorée des mots de passe
Magento 1 utilise un système de hachage de mot de passe plus faible (un processus à sens unique consistant à transformer une chaîne de caractères en ce que l'on appelle un mot de passe haché). Pour remédier à cette vulnérabilité de Magento, Magento 2 prend en charge Argon2ID13, un algorithme de hachage plus puissant que l'étalon-or précédent : SHA-256.
Prévention améliorée des attaques XSS
Magento a implémenté de nouvelles règles pour empêcher les attaques de cross-site scripting (XSS) en faisant des données échappées la valeur par défaut.
Les attaques XSS sont un type d'injection de script malveillant utilisé dans les attaques de phishing, la journalisation des frappes au clavier et d'autres activités non autorisées.
Propriété et autorisations plus flexibles du système de fichiers
À partir de la version 2.0.6, Magento permet aux utilisateurs de définir les autorisations d'accès aux systèmes de fichiers. Les recommandations sont que certains fichiers et répertoires soient en écriture seule dans un environnement de développement et en lecture seule dans un environnement de production.
Prévention améliorée des exploits de détournement de clics
Magento protège votre boutique contre les attaques de détournement de clic en utilisant un en-tête de requête HTTP X-Frame-Options. Pour plus d’informations, consultez l’en-tête X-Frame-Options.
Clé de chiffrement à génération automatique
Magento utilise une clé de cryptage pour protéger les mots de passe et les données sensibles. Actuellement, Magento 2 utilise l'algorithme AES-256 et vous pouvez choisir de générer une clé aléatoire à tout moment via le panneau d'administration.
Utilisation d'une URL d'administration Magento autre que celle par défaut
Les pirates utilisent des robots automatisés de recherche de mots de passe pour récupérer les données personnelles des acheteurs et l’accès des commerçants aux opérations de back-office. Pour empêcher ce type d'attaque, Magento crée par défaut un URI d'administration aléatoire lorsque vous installez le produit.
Correctifs et mises à jour de sécurité Magento 2 cohérents
La principale raison pour laquelle la sécurité de Magento 2 l'emporte sur Magento 1 réside dans les mises à jour régulières. Le dernier correctif de sécurité d'Adobe pour Magento 1 a été publié le 22 juin 2020. Pendant ce temps, les commerçants de Magento 2 reçoivent leurs correctifs de sécurité chaque trimestre dans un communiqué officiel. Bulletin de sécurité Adobe.
Comment Magento Comment Magento minimise l'impact des vulnérabilités
En plus de la nouvelle architecture et du cadre de sécurité de Magento 2, des processus sont en place pour minimiser l'impact des vulnérabilités.
Ils comprennent:
- Programme de Bounty Bug — Les développeurs reçoivent des primes allant jusqu'à 10,000 XNUMX $ pour les bugs trouvés dans Magento. C'est un excellent moyen d'impliquer la communauté dans la sécurité de Magento.
- Centre de sécurité Magento — De nouvelles mises à jour de sécurité, correctifs, meilleures pratiques et bien plus encore peuvent être trouvés sur cette ressource. Que vous ayez besoin de plus d'informations sur un correctif ou d'instructions pour installer des correctifs/mises à jour, c'est l'endroit où aller.
- Registre des alertes de sécurité — L'équipe Magento répond aux vulnérabilités et fournit des correctifs et des mises à jour pour protéger les magasins contre les menaces. Abonnez-vous au registre des alertes de sécurité pour recevoir des e-mails chaque fois qu'il y a une nouvelle version de sécurité.
- Normes de qualité des codes — L'équipe de développement principale de Magento utilise le Norme de codage Magento et recommande aux développeurs qui créent des extensions et des personnalisations Magento d'utiliser également cette norme.
- Programme de qualité des extensions — Toutes les extensions soumises à Magento Marketplace passent par un processus d'examen en plusieurs étapes : examens techniques et marketing. Si l’un ou l’autre des examens n’est pas réussi, l’extension ne pourra pas être publiée.
Liste de contrôle de sécurité Magento : quelles normes de sécurité doivent être mises en place pour garantir la sécurité de mon site ?
Il n’existe pas de site inpiratable. Même si vous engagez les meilleurs développeurs, ingénieurs et experts en sécurité, il existe toujours un risque de piratage.
Nous recommandons donc d’appliquer un flux de travail de sécurité strict pour l’intégration et les activités quotidiennes.
Voici les moyens de sécuriser Magento :
- Incluez des pratiques de sécurité dans votre processus d'intégration
Même si cela semble évident, il est souvent négligé par les équipes internes et externes. Assurez-vous que les nouveaux employés du magasin, les employés en sous-effectif et tous ceux qui se trouvent entre les deux passent par l'intégration de sécurité. Nous recommandons le Liste de contrôle d'intégration des nouveaux employés du RSSI. - Appliquer des droits d’accès stricts
Une partie du processus d'intégration consiste à déterminer les droits d'accès dont un employé aura besoin pour faire son travail. Il est important de faire respecter les droits d'accès à l'information et nous vous recommandons également de procéder à des examens des droits d'accès pour vous assurer qu'aucune règle n'est violée dans votre dos. Tu peux configurer les rôles d'utilisateur dans Magento avec ce guide. - Assurez-vous de respecter les normes de l'industrie
C’est à la fois technique et commercial. Votre site et tout le code utilisé doivent être conformes aux normes de codage PHP, aux normes de test et être conformes à la norme PCI à tout moment. Nous vous présenterons une liste de contrôle exploitable dans la section suivante afin que vous puissiez devenir conforme à la norme PCI. - Avoir une infrastructure redondante de basculement
Oui, nous comprenons que vous n'êtes pas un expert en sécurité, mais vous devez demander à la personne responsable de la sécurité si elle dispose d'un plan de sauvegarde (qui doit couvrir ce que vous sauvegardez, la fréquence à laquelle vous sauvegardez et quand les sauvegardes doivent être utilisées). Remarque importante : les sauvegardes doivent être automatisées. - Sécurisez les composants tiers (modules, services, extensions, applications)
Comme le Meilleures pratiques de sécurité Magento par exemple, assurez-vous que toutes les applications exécutées sur votre serveur sont sécurisées. Évitez d'exécuter des applications comme WordPress sur le même serveur que Magento, car une vulnérabilité dans l'une de ces applications peut potentiellement exposer des informations provenant de Magento. Il va sans dire que vous ne devez jamais installer d’extensions provenant de sources non fiables (comme les sites torrent). - Protégez vos données
un. Ségrégation des infrastructures
⇨ Cela va dans le sens de la sécurisation des composants tiers. En aucun cas vous ne devez exécuter des environnements de développement, de préparation et de production sur la même instance de serveur.b. Accès limité
⇨ Autre point que nous avons abordé : les droits d'accès s'étendent aux développeurs et autres personnels informatiques. En aucun cas, chaque membre de l’équipe ne doit disposer de droits d’administrateur complets.c. Protection des données personnelles
⇨ Bien que cela puisse paraître évident, une partie du processus d'intégration devrait inclure de ne pas utiliser de clés USB et autres périphériques de stockage pour fonctionner. N’oubliez pas non plus de ne pas cliquer sur des liens suspects ni d’ouvrir des e-mails suspects. Ne communiquez jamais votre mot de passe à personne (en particulier le mot de passe administrateur Magento).
Alors, une fois les choses ennuyeuses passées, passons à la protection contre les balles de votre boutique Magento !
Sécurité Magento à toute épreuve : comment sécuriser le site Magento en 14 étapes
Étape n°1 : Audit de sécurité
Il y a de nombreux éléments mobiles dans la sécurité de Magento. Aucun développeur, architecte, gestionnaire ou autre rôle ne comprend. Il y a de nombreuses pièces mobiles dans la sécurité de Magento. Aucun développeur, Architecte de solution, responsable ou autre rôle comprend les risques de sécurité ainsi qu'un expert en sécurité qualifié. C’est pourquoi la première étape consiste à faire examiner votre site par un expert. De préférence, vous devriez le faire au moins une fois par an pour rester en sécurité.
Étape n°2 : analyse de sécurité automatisée
Bonne nouvelle, vous n’êtes pas obligé de vous adresser à un tiers à chaque fois que vous souhaitez exécuter une analyse. Magento propose gratuitement son Security Scan.
Magento Security Scan vous permet de surveiller tous vos sites Web (si vous en avez plusieurs) pour détecter les risques possibles et met en évidence les correctifs et mises à jour dont vous avez besoin. Définissez un calendrier (Magento recommande d'effectuer une analyse hebdomadaire) et recevez des rapports et des actions correctives pour chaque test échoué. Pour commencer, consultez ce guide.
Il existe également des outils d'analyse gratuits comme MageReport, mais il n’est pas aussi approfondi que l’outil de Magento et ne propose pas d’analyse automatisée ou programmée.
Étape n°3 : Sécurité de l'administrateur Magento
Magento recommande une approche multicouche pour sécuriser votre compte administrateur(S).
Vous pouvez:
- Définir le niveau de sécurité des mots de passe
- Définir le nombre de tentatives de connexion
- Configurer la durée d'inactivité du clavier avant l'expiration de la session
- Exiger des noms d'utilisateur et des mots de passe sensibles à la casse
Mots de passe administrateur
Options de mot de passe pour les administrateurs
Dans la barre latérale d'administration, accédez à Magasins > Paramètres > Configuration.
Dans le panneau de gauche sous Avancé, choisissez Administrateur.
Élargir la Sécurité .
Modifier l'URL d'administration par défaut
C'est une bonne idée de remplacer l'URL d'administration par défaut par autre chose afin d'en faire une cible moins importante pour les pirates.
URL de base par défaut: http://votredomaine.com/magento/
URL et chemin d'accès par défaut de l'administrateur: http://votredomaine.com/magento/admin
Il existe un moyen simple de changer l'URL d'administration disponible dans le panneau d'administration, mais gardez à l'esprit que toute erreur rendra votre site inaccessible à tous les administrateurs, et la seule façon de résoudre ce problème est de modifier les fichiers de configuration du serveur (ce n'est pas quelque chose que vous souhaitez expérimenter, faites-nous confiance).
Liste blanche IP
Vous avez peut-être entendu parler de la mise sur liste noire, lorsque vous bloquez l'accès à un certain site, une certaine adresse IP ou un certain réseau.
Liste blanche est le contraire : permettre l'accès à certaines informations, sites et dans notre cas, au panneau d'administration de Magento, uniquement à des adresses IP de confiance.
Étape n°4 : définir les rôles des utilisateurs
Magento inclut des options pour restreindre l'accès aux administrateurs. En d’autres termes, vous pouvez créer des autorisations pour limiter ce qu’un administrateur de site voit et lui accorder un accès limité.
Vous pouvez configurer des rôles d'utilisateur en accédant à la barre latérale d'administration. Cliquez sur Système, en dessous de Autorisations, '; '; ; Rôles de l'utilisateur. Dans le coin supérieur droit, cliquez sur Ajouter un nouveau rôle.
Après avoir attribué un Nom de rôle et en entrant votre mot de passe, vous pouvez configurer le Portée du rôle (voir l'image ci-dessous).
Magento Commerce vous permet de consigner toutes les actions effectuées par les administrateurs. Vous pouvez activer les journaux d'actions en accédant à Magasins > Paramètres > Configuration. Dans le panneau de gauche, développer Avancé et choisissez Administrateur. Élargir la Journalisation des actions d'administration section et cochez la case activer la journalisation de l'administrateur pour chaque action que vous souhaitez enregistrer.
Étape n°5 : Configurer Captcha et Google reCaptcha
Dans Magento, vous pouvez configurer les deux Captcha et les Google reCaptcha pour les administrateurs et les clients. Les deux vous protègent contre le spam et d’autres types d’abus automatisés.
Captcha est un test de validation humaine, c'est-à-dire les lettres et chiffres flous et ondulés que vous avez probablement dû plisser les yeux pour voir.
Google reCaptcha est un type supérieur de validation humaine, c'est-à-dire la case à cocher « Je ne suis pas un robot ».
reCAPTCHA invisible (Magento recommandé) — qui vérifie automatiquement qu'un utilisateur est humain, sans aucune interaction. Cela semble magique, mais Google a réussi à trouver un moyen d’y parvenir.
Étape n°6 : Authentification à deux facteurs (2FA)
L'authentification à deux facteurs, ou 2FA en abrégé, est une méthode de confirmation de l'identité d'un utilisateur en obligeant les utilisateurs à effectuer une deuxième étape du processus de vérification. Magento2FA est uniquement disponible pour les utilisateurs administrateurs et n'est pas étendu aux comptes clients.
Voici comment configurer 2FA dans Magento :
Dans la barre latérale d'administration, accédez à Magasins > Paramètres > Configuration.
Dans le panneau de gauche, développez Sécurité et choisissez 2FA.
Étape n°7 : Clé de cryptage
Lorsque vous lancez Magento pour la première fois, le système génère automatiquement une clé de cryptage. Cette clé est utilisée pour protéger les mots de passe et autres données sensibles telles que les informations de carte de crédit et les mots de passe d'intégration (module de paiement et d'expédition).
Magento recommande de garder cette clé en sécurité et cachée à tout moment. Si vous rencontrez une violation de données, vous pouvez créer une nouvelle clé de cryptage pour empêcher quiconque d'accéder aux données à l'aide de l'ancienne clé.
Vous pouvez générer une nouvelle clé dans le panneau d'administration. Je le répète, nous vous déconseillons de le faire vous-même.
Étape n°8 : Exigences relatives au mot de passe
Magento nécessite un minimum de sept caractères (lettres et chiffres). Nous vous recommandons d'utiliser quelque chose d'un peu plus robuste : un mot de passe alphanumérique de 10 à 12 caractères.
Pro-Tip — N'essayez pas de penser vous-même à un mot de passe. Nous vous recommandons d'utiliser LastPass pour générer aléatoirement un mot de passe.
Modifiez vos mots de passe si vous soupçonnez une violation de données, que votre compte ait été piraté ou non, et définissez un rappel pour changer votre mot de passe une fois par an.
Vous pouvez définir le niveau de sécurité des mots de passe utilisés par les clients et les administrateurs directement dans l'interface d'administration.
Options de mot de passe pour les clients
Dans la barre latérale d'administration, accédez à Magasins > Paramètres > Configuration.
Dans le panneau de gauche, développer les clients et les choisissez Configuration client.
Élargir la Options de mot de passe .
Étape n°9 : Conformité PCI
Les principales sociétés de cartes de crédit ont créé la norme PCI DSS (Payment Card Industry Data Security Standard) pour garantir que les commerçants adoptent des mesures de sécurité critiques. Les commerçants qui ne respectent pas les exigences PCI peuvent s’attendre à de lourdes amendes, qui peuvent également entraîner la perte de leur capacité à traiter les paiements.
Magento permet aux commerçants de se conformer plus facilement à la norme PCI : Magento Commerce Cloud est certifié PCI et les offres Magento sont intégrées. Passerelles de paiement comme PayPal, Authorize.Net et d'autres qui transmettent en toute sécurité les informations de carte de crédit.
12 Exigences pour PCI-DSS | |
Construire et maintenir un réseau sécurisé | Exigence 1 : Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte Exigence 2 : n'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité. |
Protéger les données des titulaires de carte | Exigence 3 : Protéger les données stockées du titulaire de la carte Exigence 4 : Chiffrer la transmission des données des titulaires de carte sur les réseaux publics ouverts |
Maintenir un programme de gestion des vulnérabilités | Condition 5 : Utiliser et mettre régulièrement à jour un logiciel antivirus Exigence 6 : Développer et maintenir des systèmes et des applications sécurisés |
Mettre en œuvre des mesures de contrôle d'accès strictes | Exigence 7 : restreindre l'accès aux données des titulaires de carte en fonction des besoins de l'entreprise Exigence 8 : Attribuer un identifiant unique à chaque personne ayant accès à l'ordinateur Exigence 9 : Restreindre l'accès physique aux données du titulaire de la carte |
Surveiller et tester régulièrement les réseaux | Exigence 10 : Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte Exigence 11 : Tester régulièrement les systèmes et processus de sécurité |
Maintenir une politique de sécurité de l'information | Exigence 12 : Maintenir une politique qui traite de la sécurité des informations |
Remarque importante : N'UTILISEZ PAS le Module Cartes de crédit enregistrées dans un environnement de Production !
Les cartes de crédit enregistrées ne sont pas conformes à la norme PCI et vous exposez peut-être les informations de carte de crédit de vos clients.
Étape n°10 : installer les extensions de sécurité
Lorsque les fonctionnalités natives ne suffisent pas, les extensions viennent à la rescousse. Magento dispose d'un riche référentiel d'extensions de sécurité, à la fois payantes et gratuites. En voici quelques-uns que vous pouvez essayer :
Étape n°11 : Solutions d'automatisation de la sécurité
L'automatisation de la sécurité est le processus de gestion automatique des tâches liées à la sécurité telles que l'analyse antivirus, la détection des intrusions, la création de sauvegardes, le renouvellement des certificats SSL et bien plus encore.
IBM a fait une découverte révolutionnaire : les organisations ne disposant pas de solutions de sécurité automatisées ont subi des coûts de violation 95 % plus élevés que les organisations disposant d'une automatisation entièrement déployée.
Étape n°12 : Assurance cyber-responsabilité
Comme tout autre type d’assurance (auto, habitation…), la cyberassurance protège les entreprises des dommages causés par les cyberattaques. La cyber-responsabilité couvre notamment
- Violations de données suite à un vol d’employés et/ou à des fuites de données.
- Interruption des activités cybernétiques, comme un piratage tiers ou un correctif logiciel défaillant.
- Violations de données suite à un piratage.
- Erreurs et omissions conduisant à une intrusion dans la sécurité.
Étape n°13 : Créer une équipe et un plan de réponse aux incidents
Si vous n’avez pas de plan de réponse aux incidents (ou si vous ne savez pas de quoi il s’agit), créons-en un.
Pour faciliter les choses, nous avons pris Talesh Seeparsan Modèle de plan de réponse aux incidents centré sur Magento et création d'une feuille de calcul Google que vous pouvez copier pour votre propre usage.
Conditions préalables à l'utilisation du modèle :
- Créer une équipe de réponse aux incidents (IRT) pour traiter les incidents de sécurité pour chaque aspect de la solution de commerce électronique définie dans cette table.
- Surveillez et analysez régulièrement le trafic réseau et les performances du système.
- Vérifiez régulièrement tous les journaux et mécanismes de journalisation, y compris les journaux d'événements du système d'exploitation, les journaux spécifiques aux applications et les journaux du système de détection d'intrusion.
- Vérifiez vos procédures de sauvegarde et de restauration. Vous devez savoir où les sauvegardes sont conservées, qui peut y accéder et vos procédures de restauration des données et de récupération du système. Assurez-vous de vérifier régulièrement les sauvegardes et les supports en restaurant sélectivement les données.
IBM constaté que les entreprises disposant d'un IRT et des tests approfondis de leurs plans d'intervention économisé plus de 1.2 million de dollars. Plus précisément, l'étude a montré que l'effet combiné de l'IRT et du test du plan de réponse aux incidents, via des exercices et des simulations, a aidé les équipes à réagir plus rapidement et à réaliser des économies de coûts plus importantes que n'importe quel processus de sécurité unique.
Étape n°14 : Gardez Magento à jour et à jour
Il n'y a aucune excuse pour ne pas disposer d'une boutique Magento corrigée et entièrement mise à jour.
Pour installer un correctif de sécurité Magento, vous devez
- Sauvegardez le système de fichiers, le support et la base de données pour éviter toute perte de données en cas de problème.
- Téléchargez un correctif (alias hotfix) à partir de Centre de sécurité Magento. N'oubliez pas que vous devrez connaître votre version de Magento pour télécharger un correctif correct.
- Appliquez un patch via Package Magento Quality Patch (MQP), ligne de commande ou Composer.
Analysez votre site, identifiez les correctifs que vous devez installer et, s'il vous plaît, ne laissez pas les pirates accéder facilement via une vulnérabilité. Inscrivez-vous au registre d'alertes de sécurité Magento et assurez-vous de visiter le centre de sécurité Magento de temps en temps pour connaître les dernières nouvelles et informations.
Pour vous éviter quelques ennuis, vous pouvez également embaucher un développeur Magento. Ils installeront un correctif de sécurité Magento en un rien de temps, qu'il s'agisse d'un correctif ou d'un correctif personnalisé.
Que faire si votre site Web a été piraté
Ne pas paniquer. En cas de violation de données ou d’exposition d’informations, il n’existe aucun moyen de récupérer ces informations. Votre priorité doit être d’identifier ce qui a été exposé, de rassembler des preuves et de vous assurer que les données ne fuient pas.
Suivez votre plan de réponse aux incidents :
- Faire un premier bilan
- Communiquer l'incident
- Contenir les dégâts et minimiser les risques
- Identifier la gravité de la compromission
- Préserver les preuves
- Communiquer toute notification externe
- Compiler et organiser les preuves d'incidents
Expérience Elogic avec les cyberattaques
Pour savoir ce que les développeurs d'Elogic rencontrent dans leur travail, nous avons interrogé autour de nous et découvert deux histoires folles d'intentions malveillantes.
Le fiasco du minage de Bitcoin
L'un de nos développeurs full-stack les plus expérimentés chez Elogic, Andriy Biloshytskiy, a vécu une expérience intéressante il y a quelques années. Quelque chose de très étrange est arrivé à l'un des projets sur lesquels il travaillait à l'époque.
Il n’y a eu aucune mise à jour récente sur le site, rien n’a changé, sauf que le site ne fonctionnait pas », explique Andriy. « J'ai donc fait une enquête rapide et découvert quelque chose à la fois étrange et amusant : il y avait un morceau de code JavaScript sans balise de fermeture, ce qui a provoqué le crash. Après une recherche sur Google, j’ai découvert que le script malveillant était destiné à siphonner la puissance de calcul des personnes visitant le magasin – pour extraire du Bitcoin.
– Andriy Biloshytskiy, développeur Full-stack chez Elogic Commerce
L’auteur (peut-être un administrateur de magasin) n’a jamais été arrêté. Le magasin ne disposait pas de journaux d’administration, il n’y avait donc aucun moyen de savoir avec certitude qui était responsable.
Le virus inattendu
Lorsque les développeurs travaillent sur des projets, ils clonent souvent le magasin sur leur PC ou serveur de travail pour tester et écrire du nouveau code. Cette histoire s'est produite après qu'un de nos développeurs a cloné un magasin, mais au lieu de se mettre au travail, il a vu une fenêtre contextuelle.
La fenêtre contextuelle était un avertissement de son logiciel antivirus et la source de l'infection était l'instance Magento fraîchement installée. Après avoir localisé le fichier infecté, un fichier principal de PHP, le développeur a supprimé le code malveillant et a continué son travail.
La morale de l’histoire est la suivante : qu’il s’agisse d’une attaque ciblée, d’une erreur humaine ou d’un problème/vulnérabilité du système, vous pouvez contribuer à prévenir les violations en mettant en œuvre et en respectant les normes de sécurité.
Magento Commerce est-il plus sécurisé que Magento Open Source ?
En choisissant entre Magento 2 Commerce contre Open Source, vous vous êtes peut-être demandé lequel est le plus sécurisé. S'il est vrai que les deux éditions de Magento offrent des fonctionnalités exceptionnelles (en fonction des besoins commerciaux du commerçant, bien sûr), nous pouvons garantir la sécurité de Magento Commerce (alias Adobe Commerce).
Voici cinq avantages majeurs en matière de sécurité liés à l’utilisation de Magento Commerce et Commerce Cloud.
Conformité PCI
La conformité PCI n'est pas une fonctionnalité répertoriée dans Magento Open Source, mais elle l'est dans Magento Commerce. Mieux encore, Magento Commerce Cloud est certifié PCI en tant que fournisseur de solutions de niveau 1, afin que les commerçants puissent utiliser l'attestation de conformité PCI de Magento pour faciliter leur propre processus de certification PCI.
Responsabilités de sécurité partagées
Magento Commerce Cloud dispose d'un modèle de sécurité à responsabilité partagée où vous, Magento et Amazon Web Services (les meilleurs services cloud de leur catégorie) partagez les responsabilités en matière de sécurité opérationnelle. Vous êtes responsable du test du code personnalisé et de toutes les applications personnalisées. Magento garantit la sécurité de la plate-forme elle-même et Amazon s'occupe de la sécurité physique des serveurs et de la conformité.
Journaux d'actions
Magento Commerce vous donne la possibilité de conserver une trace de chaque modification (action) effectuée par un administrateur qui travaille dans votre boutique. Les informations enregistrées incluent le nom de l'utilisateur, l'action et si l'action a réussi, et enregistrent également l'adresse IP et la date.
Pare-feu d'application Web (WAF)
Tout comme un pare-feu sur un PC, un WAF empêche le trafic malveillant d'entrer dans un réseau en utilisant un ensemble de règles de sécurité. Tout trafic qui déclenche les règles est bloqué avant de se libérer sur votre site ou votre réseau. Magento Commerce Cloud utilise CDN rapidement pour les services WAF.
Réseau de diffusion de contenu (CDN) et protection DDoS
Magento Commerce Cloud utilise également Fastly CDN pour des fonctionnalités de sécurité supplémentaires telles que la protection DDoS, qui comprend l'atténuation DDoS des couches 3, 4 et 7.
Points à retenir – Conseils de sécurité et bonnes pratiques Magento
La sécurité des sites et plus largement la cybersécurité doit être l’une de vos principales priorités. Vous ne gérez pas seulement un blog ou une page personnelle, vous êtes responsable de la protection des informations confidentielles, notamment les noms, adresses, numéros de téléphone et informations de carte de crédit.
Se souvenir
- Même un site entièrement corrigé et mis à jour peut être piraté. Par exemple, un mot de passe administrateur faible peut être forcé brutalement et les pirates peuvent entrer directement et collecter tout ce qu'ils veulent. Effectuez donc régulièrement des contrôles de sécurité Magento.
- Vous ne pouvez pas tenir compte des nouvelles vulnérabilités ou des exploits du jour zéro (une cyberattaque qui se produit le jour même de la découverte d’une vulnérabilité). Cependant, un plan de réponse aux incidents solide peut vous aider à garder une longueur d’avance.
- «Mieux vaut prévenir que guérir.» Ben Franklin avait raison. Si vous avez configuré votre boutique en pensant à la sécurité, si vous avez adhéré au flux de travail de cybersécurité que nous avons décrit et si vous avez renforcé votre boutique, vous pouvez vous épargner beaucoup de temps et de chagrin.
- Ne faites pas de compromis sur la sécurité, sinon votre manque de sécurité vous compromettra.
FAQ sur la sécurité de Magento
Magento est-il sécurisé ?
Après le fiasco de Magento 1, Adobe a mis à niveau Magento 2 vers de nouveaux niveaux de sécurité. L'architecture de commerce électronique Magento est conçue pour fournir un environnement hautement sécurisé grâce au pare-feu d'application Web (WAF), à Fastly CDN pour une protection DDoS supplémentaire et au hachage pour crypter les données. Des correctifs de sécurité sont publiés chaque trimestre et Magento Security Scanner est disponible. Les commerçants peuvent également utiliser des certificats SSL, CAPTCHA, l'authentification à deux facteurs et d'autres bonnes pratiques de sécurité Magento pour protéger leurs clients.
On peut donc affirmer sans se tromper que Magento est l’une des plateformes les plus sécurisées parmi celles proposées sur le marché du commerce électronique.
Comment sécuriser le site Magento ?
Certaines bonnes pratiques pour sécuriser Magento sont les suivantes :
- Fournissez des audits réguliers de la sécurité de Magento, que ce soit avec un outil d'analyse automatique des logiciels malveillants de Magento ou avec l'aide d'un professionnel de Magento.
- Utilisez des connexions cryptées (SSL/HTTPS).
- Activez l'authentification à deux facteurs.
- Sauvegardez régulièrement votre site Web.
- Choisissez des hébergeurs fiables
- Utilisez les fonctionnalités de sécurité natives de Magento et installez des extensions de sécurité chaque fois que nécessaire.
- Élaborez votre plan d’action en cas de cyber-urgence.
Consultez une liste de contrôle de sécurité complète de Magento ci-dessus.
Magento est-il conforme à la norme PCI ?
La conformité Magento PCI dépend de son édition :
Magento Open Source n'est pas conforme à la norme PCI, vous devrez donc adopter soit un mode de paiement tiers qui vous redirige vers un autre site pour effectuer la transaction (comme PayPal, Authorize.net), soit un mode de paiement SaaS conforme à la norme PCI (CRE Secure).
Magento Commerce et Commerce Cloud sont certifiés PCI en tant que fournisseur de solutions de niveau 1.
Source : https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- accès
- Compte
- Action
- d'activités
- Supplémentaire
- admin
- Adobe
- Avantage
- avocat
- algorithme
- Tous
- Permettre
- Amazon
- Amazon Web Services
- parmi
- annoncé
- antivirus
- Application
- applications
- architecture
- autour
- Attaques
- Authentification
- Automatisation
- Automation
- sauvegarde
- sauvegardes
- LES MEILLEURS
- les meilleures pratiques
- Le plus grand
- Bit
- Bitcoin
- Bitcoin mining
- Blog
- les robots
- violation
- infractions
- bogues
- la performance des entreprises
- entreprises
- Campagne
- fournisseur
- les soins
- pris
- causé
- certificats
- Certifications
- Change
- charge
- Contrôles
- le cloud
- services de cloud computing
- code
- Codage
- Commerce
- Communautés
- Sociétés
- conformité
- informatique
- Puissance de calcul
- Connexions
- Costs
- Crash
- La création
- crédit
- carte de crédit
- Cartes de crédit
- soins
- Clients
- cyber
- Cyber-attaque
- cyber-attaques
- Cybersécurité
- données
- violation de données
- La perte de données
- la sécurité des données
- Base de données
- journée
- DDoS
- affaire
- page de livraison.
- Détection
- développer
- Développeur
- mobiles
- Développement
- Compatibles
- DID
- découvert
- découverte
- destin
- e-commerce
- e-commerce
- employés
- chiffrement
- Les ingénieurs
- Environment
- etc
- événement
- Développer vous
- d'experience
- de santé
- extensions
- Fonctionnalité
- Fonctionnalités:
- la traduction de documents financiers
- données financières
- Incendie
- Prénom
- Fixer
- Framework
- gratuitement ici
- plein
- avenir
- gif
- Or
- Bien
- Recherche Google
- l'
- guide
- entaille
- les pirates
- piratage
- Maniabilité
- Hachage
- ici
- louer
- Accueil
- hébergement
- Comment
- How To
- HTTPS
- idée
- identifier
- Identite
- image
- Impact
- réponse à l'incident
- Y compris
- industrie
- infection
- info
- d'information
- sécurité de l'information
- Infrastructure
- Assurance
- l'intégration
- intention
- l'interaction
- détection d'intrusion
- enquête
- impliqué
- IP
- IP dédiée
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- JavaScript
- Emploi
- en gardant
- ACTIVITES
- gros
- Nouveautés
- Dernières infos
- conduisant
- Fuites
- APPRENTISSAGE
- savant
- Niveau
- responsabilité
- limité
- Gamme
- majeur
- Fabrication
- malware
- gestion
- Marché
- Stratégie
- marché
- Médias
- Commerçant
- Marchands
- Mines
- noms
- net
- réseau et
- trafic réseau
- nouvelles
- numéros
- code
- Offres Speciales
- officiel
- Onboarding
- en ligne
- ouvert
- open source
- ouvre
- d'exploitation
- le système d'exploitation
- Opérations
- Options
- Autre
- Autres
- Panique
- Mot de Passe
- mots de passe
- Pièce
- Patches
- Paiement
- Paiements
- PayPal
- PC
- PCI DSS
- Personnes
- performant
- données à caractère personnel
- personnel
- phishing
- attaques de phishing
- Physique
- Sûreté Matérielle
- plateforme
- Plateformes
- plug-in
- politique
- power
- Prévention
- la confidentialité
- Produit
- Vidéo
- projets
- protéger
- protection
- public
- qualité
- récupération
- Rapports
- Exigences
- ressource
- Resources
- réponse
- Résultats
- Avis
- Avis
- Courir
- pour le running
- SaaS.
- des
- balayage
- balayage
- Rechercher
- sécurité
- systèmes de sécurité
- mises à jour de sécurité
- voit
- Services
- set
- Partager
- coquillage
- Livraison
- Shorts
- étapes
- Sites
- So
- Logiciels
- Solutions
- le spam
- Tableur
- Normes
- j'ai commencé
- rester
- storage
- Boutique
- STORES
- Stories
- Étude
- soumis
- réussi
- Appareils
- Les soutiens
- combustion propre
- Système
- Target
- Technique
- tester
- Essais
- El futuro
- Les projets
- La Source
- vol
- des menaces
- fiable
- conseils
- tonnes
- suivre
- circulation
- transaction
- La confiance
- Mises à jour
- Actualités
- URI
- us
- usb
- utilisateurs
- Vérification
- virus
- vulnérabilités
- vulnérabilité
- Vulnérable
- web
- services Web
- Site Web
- sites Internet
- hebdomadaire
- Qu’est ce qu'
- WHO
- Outils de gestion
- des mots
- activités principales
- workflow
- vos contrats
- vaut
- X
- XSS
- an
- années