dimanche , 20 janvier 2019
Accueil » articles » 13 tactiques de vie ou de mort pour stopper le hacking de Magento

13 tactiques de vie ou de mort pour stopper le hacking de Magento

Chaque individu qui possède une boutique sous Magento sait que suivre les meilleures pratiques de sécurité est important. Mais très souvent, une bonne sécurité peut être défaillante – chacun sait que c’est une bonne idée, mais certains d’entre nous se demande si un rinçage avec de la Listerine est assez suffisante. Même si ça ressemble à une tâche ménagère, ne pas réussir à suivre les meilleures pratiques de sécurité peut nous mettre ainsi que nos clients dans une situation périlleuse. Nous avons collecté 13 des plus importantes façons dont vous pouvez faire pour garder votre site Magento en sécurité.

1. Implanter une Authentification à Deux Facteurs (A2F)

Une authentification multi-facteur (souvent appelé A2F ou AMF) se réfère à plusieurs systèmes de connections qui dépendent de deux ou plusieurs pièces d’informations pour vérifier votre identité. En faites, l’information est un mot de passe et un second code qui est envoyé à votre téléphone ou fournit en avance. Les clés fobs de sécuritéID sont d’autres moyens de 2FA que vous auriez déjà vu auparavant.

A2F empêche les attaques parce que c’est difficile pour un hacker d’accéder à votre nom d’utilisateur, votre mot de passe, et une troisième chose comme un token aléatoire. Si votre placement est compatible aux normes de l’Industrie des Cartes de Paiement (ICP ou PCI) (et que vous voulez le garder comme ça), vous aurez besoin d’implanter une authentification multi-facteur et un autre DSS PCI 3.2 valable jusqu’en Février 2018.

2. Utiliser des Mots de Passe Difficile

La plupart des personnes veulent un mot de passe qui est facile à saisir, facile à se rappeler, et difficile à deviner. Malheureusement, la plupart des mots de passe créés dans ce sens sont très facile à cracker avec les technologies modernes. Et si vous réutilisez votre mot de passe pour un autre compte, cela signifie que les hackers peuvent déchiffrer tous vos comptes pour le prix d’un.

Les gestions de mot de passe à la rescousse ! Les logiciel comme Keepass, Lastpass, et beaucoup d’autres fournissent un « casier » crypté qui garde un unique, et extra fort mot de passe pour chaque compte. Vous n’aurez besoin de vous souvenir que d’un seul mot de passe pour débloquer la base de données, et des mots de passe individuels ne seront plus une faille pour votre sécurité surtout pour un compte critique tel que l’admin de Magento. Il est essentiel d’utiliser un long, complexe et unique mot de passe.

3. Utiliser un Bon Logiciel D’antivirus

Le plus infranchissable mot de passe du monde est sans valeur si votre PC en soi est compromis. Une infection malware sur votre ordinateur peut donner aux hackers la clé de votre compte Magento en espionnant votre connexion ou en se connectant à vos frappes sur le clavier. Pour empêcher les intrusions, vous aurez besoin d’un anti-virus robuste et à jour sur n’importe quel ordinateur que vous utilisez pour travailler votre boutique sur Magento.

4. Exécuter des Scans Compatible ICP Tous les Trois Mois

Si vous stockez ou non un PII ou une carte d’information sur votre serveur, un scan ICP ou PCI est une bonne manière d’identifier le logiciel et les configurations vulnérables. Si votre pare-feu, votre antivirus, ou vos politiques de mot de passe sont mal configurés ou obsolètes, le scan peut vous aider à trouver ces vulnérabilités avant que les hackers le fassent.

5. Changer l’URL de l’Admin de Magento

Par défaut, la page de connexion admin de Magento est yourshop.com/store/admin. Si vous utilisez l’adresse par défaut pour la page d’admin, il est facile pour les hackers de trouver cette page. S’ils ne peuvent pas le trouver, ils ne peuvent pas le pirater. Changer l’URL pour quelque chose difficile à deviner, comme par exemple yourshop.com/store/Dk4u99x2i, arrêtera cet avènement d’attaque. Ce n’est seulement qu’ « une sécurité dans l’obscurité », mais cela augmente encore la difficulté pour les assaillants.

6. Mettre à Jour Tous les Logiciels

Il est essentiel de mettre votre logiciel serveur Magento et toutes les extensions à jour. Magento a sorti 5 mises à jour de sécurité en 2016. Les hackers sont à jour sur les failles dans la sécurité, assurez-vous de l’être aussi.

Au-delà des correctifs (patches) officiels de Magento, les plugins sont des cibles fréquentes pour le hacking. Si vous utilisez un plugin qui a des bugs ou qui n’a pas été mise à jour depuis longtemps, réfléchissez si ça en vaut le coût de risquer votre site. Rechercher régulièrement des patches sur les plugins.

A part les mises à jour de Magento, il est également important de s’assurer que votre combinaison de logiciels LAMP est à jour.

7. Implanter un contrôle de version

Un contrôle de version est le fait de centraliser, de rechercher et de comparer tous les changements de fichiers d’un projet dans le temps. C’est un outil important pour tout projet de logiciel, les projets de Magento sont inclus. Nous vous recommandons d’utiliser Github, un des systèmes les plus populaires.

Même si cela n’arrête pas les attaques, le contrôle de version est essentiel pour défendre votre boutique. Il recherche tous les changements et qui les font – rendant ainsi plus facile de trouver et de réparer tous les changements malicieux de votre code.

8. Garder et Revoir le Journal d’erreurs

Les activités et le journal d’erreurs sont comme une caméra de sécurité pour votre site web. Ils ne préviennent pas les attaques par lui-même, mais ils rendent plus facile de les arrêter dans le futur. Revoyez régulièrement les logs de votre serveur pour toutes les activités suspicieuses. Garder le journal d’erreurs de Magento peut aussi poser des problèmes sur les configurations de votre boutique, une manière de boucher les failles et d’arrêter les attaques.

9. Utiliser un CDN comme CloudFlare

Nous encourageons nos clients d’utiliser les services comme CloudFlare avec leurs sites. C’est un service de Réseau de Diffusion de Contenu (CDN en anglais) qui peut bloquer une large variété d’attaques (tout sur les DDoS jusqu’à l’extraction de liste d’e-mail) en filtrant tout le trafic de votre site web. C’est une simple manière de rendre votre site web plus flexible avec une extra couche de sécurité, et peut faciliter la compatibilité en ICP. Un bonus en plus, lancer un site à travers un CDN peut rendre significativement votre site plus rapide, surtout si les utilisateurs sont géographiquement éloignés de votre serveur, même à l’étranger.

10. Une Liste Blanche d’IPs pour l’accès à l’admin

Si vous changez le chemin de l’admin, cela sera plus difficile aux assaillants de le trouver. Bloquez-le davantage en éloignant tout le monde excepté les utilisateurs pré-approuvés, et en créant ce qui est connu comme une liste blanche d’IP sur le serveur. Toute IP qui n’est pas sur la liste est éliminés, ainsi que les hackers.

11. Verrouiller les Fichiers et les Permissions de Dossier

Le système d’exploitation Linux peut lire, écrire, et exécuter les fichiers. Ces permissions sont fixées en utilisant un système de numérotation de 0 à 7, et chaque nombre correspond à un ensemble de privilèges d’accès. C’est un peu plus détaillé que ça, mais le résultat est que vous ayez besoin de baisser la plupart des niveaux de permission sur votre serveur après l’installation de Magento. Configuré correctement, les permissions de fichier sont un sérieux barrage pour un assaillant qui essaie de compromettre votre boutique.

12. Ne Jamais Utiliser des Protocoles non Sécurisés

Utiliser un FTP ou HTTP connexion non cryptées pour éditer/uploader des fichiers par opposition à SFTP ou HTTPS peut facilement exposer vos informations aux assaillants. Assurez-vous d’utiliser un SFTP ou un SSH pour tous les changements survenus sur votre boutique sur Magento. Utiliser un client graphique FTP, ou le lancer à partir d’une ligne de commande, mais assurer que c’est un SFTP.

13. Créer une Sauvegarde et un Plan de Récupération

Si votre site est compromis, vous aurez besoin de restaurer une version antérieure. A moins que vous vouliez reconstruire à zéro, une politique cohérente de sauvegarde est la meilleure assurance que vous pourrez avoir. Nous traitons les sauvegardes de nos clients, mais nous conseillons à tous les propriétaires et les administrateurs de boutique de maintenir les sauvegardes et de les tester, sans tenir compte de l’endroit où ils sont hébergés.

Il y a beaucoup de tactiques qui pourraient garder votre site Magento sécurisé, et ça en vaut le coût de regarder. Une bonne sécurité n’est pas quelques choses que l’on obtient, c’est quelques choses que l’on fait, un ensemble d’habitudes. Maintenir un site complètement sécurisé de Magento peut sembler un peu compliqué – parce que ça l’est. Obtenir de l’aide est une bonne idée. eBoundHost encourage et aide tous nos clients de Magento à suivre ces meilleures pratiques. Assurez-vous que votre développeur, votre fournisseur d’hébergement, et tous les administrateurs partagent un bon état d’esprit pour la sécurité, ainsi votre boutique sera protégée.

Consulter aussi

Conseils sur l’installation d’Apache sous Linux

Vous avez donc un site Web, mais vous avez maintenant besoin d’une plate-forme pour l’héberger. …

Watch Dragon ball super