Comment bien sécuriser Magento ?

La digitalisation des entreprise va malheureusement de paire avec l’augmentation des attaques cybercriminelles. Les chiffres concernant l’accroissement des taux de ces attaques sont alarmants. Ils obligent donc les entreprises (particulièrement celles qui usent de Magento pour leurs activités) à revoir la sécurité de leurs systèmes. Voici quelques bonnes pratiques :

  1. Faites les mises à jour
  2. Limitez les droits d’accès à votre site
  3. Choisissez vos extensions avec soin
  4. Ayez des sauvegardes de fichiers
  5. Installez un WAF
securite magento
Bien sécuriser son Magento

 

Qu’est-ce qu’un Magento ?

Magento est un Content Management Système (CMS) soit un système de gestion de contenu. C’est une interface web qui a pour but d’aider son utilisateur à gérer un site web avec facilité. Le CMS sert également d’hébergeur au site et à son contenu, ce qui est assez intéressant pour un site dont les données sont appelées à évoluer.

Magento est un CMS de développement de plateforme e-commerce. Autrement dit, Magento est un logiciel open source de gestion de sites de vente en ligne. Toutefois, il est également distribué sous une licence payante qui propose outre l’hébergement du site, un abonnement périodique et une assistance technique.

Grâce à ses multiples fonctionnalités, Magento est spécialement conçu pour les entreprises qui projettent de lancer un site de e-commerce ou d’agrandir celui qu’elles ont déjà. Les avantages de Magento sont :

→ La multifonctionnalité du logiciel qui offre une totale flexibilité de gestion ;
→ L’extensibilité : création de catalogues de produits très exhaustifs ;
→ La gestion de grandes quantités de vente ;
→ L’intensité du trafic ;
→ La modification d’un grand nombre de paramètres pour obtenir un site correspondant à vos besoins ;
→ L’ouverture sur les marchés internationaux grâce à la fonction multilingue.

L’inconvénient majeur de Magento est qu’il requiert une bonne connaissance informatique pour assurer la prise en charge et la maintenance de son back-office, c’est-à-dire de tous les paramètres et autres données qui ne sont pas visibles par les clients.

Magento, c’est aussi plus de 150.000 sites déjà opérationnels.

 

Sécurité web Magento en 2020 (principales attaques)

Les professionnels du monde informatique sont extrêmement préoccupés par l’augmentation exponentielle des activités cybercriminelles. En effet, au cours de l’année 2019, près de 67 % des entreprises françaises ont dû faire face à des cyberattaques. Cette augmentation pousse les entreprises à mettre en place des systèmes de sécurité plus efficaces.

Avant de sécuriser son site, il y a lieu d’identifier les menaces principales qu’on doit se préparer à contrer. Parmi ces attaques, on peut citer les suivantes.

 

✖ Le Phishing

C’est une attaque très appréciée et utilisée par les cybercriminels. Une étude gouvernementale montre que cette attaque est la deuxième parmi celles auxquelles les sociétés françaises sont confrontées. Il ne fait aucun doute qu’elle continuera de sévir en 2020. En effet, elle nécessite peu d’effort, de temps et de moyens. Cette technique consiste à créer une fausse page web sur laquelle l’utilisateur est appelé à entrer des informations confidentielles comme les coordonnées bancaires, les mots de passe ou codes d’accès aux applications de travail, etc.

 

✖ Les attaques DDoS

DDos désigne un « déni de service distribué » ou Distributed Denial of Service en anglais. Plus simplement appelé aujourd’hui déni de service, il consiste généralement à envahir un site web de requêtes en un court délai de sorte à provoquer un dysfonctionnement de son système et le faire planter. Son aspect « distribué » indique que les sources des requêtes sont multiples et convergent simultanément vers un seul site.

Les attaques susmentionnées ne sont qu’une petite partie de celles qui seront entreprises en 2020. Les hackers sont toujours à la recherche de nouveaux moyens d’atteindre leurs buts malsains. Face à toutes ses menaces potentielles, il est important de savoir comment bien sécuriser un site Magento.

 

Ce qu’il faut faire pour sécuriser un site Magento

Si vous êtes propriétaires d’un site Magento, comme des millions d’autres personnes, vous avez opté pour la facilité d’utilisation de ce logiciel de gestion. Pour profiter longtemps de votre outil, et surtout le sécuriser pour vous et vos utilisateurs, il y a quelques règles à suivre.

 

→ Faites les mises à jour

Procédez à des mises à jour aussi souvent que possible, et surtout dès que vous constatez qu’une nouvelle version de votre CMS est disponible est une solution à mettre en pratique. Il en est de même en cas de nouvelle extension. Il se peut qu’il y ait des améliorations du système de sécurité.

 

→ Limitez les droits d’accès à votre site

Saviez-vous que la simple possibilité d’inscription des visiteurs sur votre site est une ouverture pour un logiciel malveillant ? Si vous avez plusieurs utilisateurs ou administrateurs, veillez à ce que chacun ait un niveau d’accès particulier. Cela facilitera la surveillance du site et éventuellement, vous saurez par où commencer vos recherches, si une situation anormale se produit.

 

→ Choisissez vos extensions avec soin

Avant d’installer une extension, vérifiez la date de la dernière mise à jour. Plus elle est récente, moins vous aurez de problèmes. Choisissez une extension qui a de la notoriété et qui est développée par un développeur expérimenté. Enfin, téléchargez vos extensions uniquement sur les sites officiels.

 

→ Ayez des sauvegardes de fichiers

Sauvegarder tous vos fichiers par mesure de sécurité, sur un serveur distant. C’est-à-dire que vos sauvegardes ne doivent pas rester sur le même hébergeur que votre site. Si vous ne le faites pas, en cas de problème, ce sont toutes vos informations qui seront perdues. Automatisez les sauvegardes de sorte qu’elles soient toujours faites à temps. Enfin, autant que possible, faites plusieurs sauvegardes. Ainsi, vous pourrez restaurer vos données et votre site même après avoir subi une attaque.

 

→ Installez un WAF

Un  Pare-feu Applicatif Web (WAF) vous permettra de scanner le trafic entrant dans votre site web et de bloquer le trafic malveillant. Si vous pensez ne pas avoir assez de connaissances informatiques pour gérer la sécurité de votre site, vous vous trompez ! V6Protect vous propose une solution clé en main pour scanner, évaluer et protéger votre Magento. Le firewall applicatif agit en temps réel et bloque immédiatement, sans aucune administration, 100% des attaques référencées par l’ OWASP (Open Web Application Security).

 

Ce qu’il faut éviter pour la sécurité d’un site Magento

Toujours dans le but d’assurer une sécurisation fiable d’un Magento, sachez qu’il y a certaines habitudes à bannir.

sécurité magento
Sécurité Magento

 

✖ Évitez les mauvais mots de passe

Les cybercriminels sont très doués pour décrypter les mots de passe. Par conséquent, assurez-vous que vos mots de passe aient au moins les trois caractéristiques suivantes :

→ Longueur : au moins 12 caractères,
→ Illisibilité : mélangez, lettres et chiffres pour le former et évitez que ce soit un mot du dictionnaire
→ Unicité : n’utilisez jamais le même mot de passe pour plusieurs sites utilisez un gestionnaire de mots de passe si nécessaire.

Évitez aussi d’utiliser des noms propres pour faire office de mots de passe.

 

✖ Évitez d’héberger plusieurs sites sur un même serveur

Si vous gérez plusieurs sites, évitez qu’ils soient tous hébergés sur le même serveur. En effet, si l’un d’eux est touché par une attaque, il peut contaminer les autres ainsi que toutes les extensions de votre site. Maintenez-les séparés et n’oubliez pas de conserver les sauvegardes.

 

✖ Faites attention aux permissions

Les permissions d’une plateforme indiquent qui peut faire quoi d’un fichier. Il existe trois commandes (lecture, écriture et exécution). À chacune d’elles est attribué un chiffre (lecture 4 écriture 2 exécution 1). L’insertion ou l’addition de ces chiffres détermine le type de permission que vous accordez. Pour rappel, il y a en dehors du propriétaire qui est l’utilisateur principal, le public et le groupe.

Tous ces calculs et commandes ont le plus souvent déjà été établis par le CMS. Cependant, s’il arrivait que vous soyez piraté, il peut vous être conseillé de sélectionner une permission 777 à un fichier. Ce faisant, vous donnez la possibilité à n’importe qui d’agir comme il l’entend sur votre plateforme.

Appliquez-vous à respecter ces différentes consignes et le niveau de sécurité de votre site sera toujours élevé. Même si personne n’est à l’abri d’un piratage de données, vous aurez au moins rendu les choses plus difficiles.

 

En fin de compte la meilleure manière de bien sécuriser votre plateforme Magento, c’est d’assurer une sécurité maximale. Visitez les sites officiels pour vous tenir informé des nouveautés en matière de sécurité. Maintenez à jour vos solutions et logiciels. Effectuez régulièrement un scan de vos défenses pour repérer la moindre faille et y remédier aussitôt.

La sécurité de votre site et de votre entreprise n’est pas à négliger. Vous devez donc toujours être à l’affût du moindre problème et cherchez les solutions adéquates pour le résoudre. Gardez toujours à l’esprit que les cybercriminels ne cessent de lancer des attaques et que nul n’est à l’abri.

Pour bien protéger votre Magento, Drupal, Joomla, ou tout autre CMS, n’hésitez pas à prendre contact avec un professionnel comme V6Protect pour vous aider à évaluer votre site et à mettre en place les corrections qui s’imposent !

 

Protégez votre site Magento avec V6Protect