Adobe, éditeur du logiciel Magento, a annoncé le 26 mars 2019 avoir identifié 37 failles de sécurité importantes et critiques sur les versions 1 et 2.
Une des failles critiques est une faille de type injection SQL et pourrait être exploitée à des fins de vols de coordonnées bancaires (card skimming).
Quelques mesures simples à metre en place :
1 Sauvegarder
Avant de procéder à quoi que ce soit, on s'assure que l'hébergement de votre site est une sauvegarde journalière du système de fichiers et de votre base de données. On vérifie également si les sauvegardes sont conservées au moins sur 7 jours.
2 Mettre à jour Magento
Il est primordial d'effectuer des mises à jour mineures régulières de votre CMS. Comme pour tout logiciel open source, les failles connues peuvent être exploitées rapidement par les pirates. Il est vivement conseillé de mettre à jour sur un environnement de test avant de le faire en production. La mise à jour vers une version majeure est à étudier au cas par cas car les modules ne seront pas forcément compatibles.
3 Supprimer les comptes inutiles
Vérifiez régulièrement les accès administrateurs. Supprimez les comptes qui ne sont pas ou plus utilisés et modifiez régulièrement les mots de passe.
4 Modifier l'url d'administration
Changer le chemin par défaut du module d'administration en éditant le fichier app/etc/local.xml
<routers>
<adminhtml>
<args>
<frontName><![CDATA[mon-nouvel-admin]]></frontName>
</args>
</adminhtml>
</routers>
Il faut ensuite rafraichir le cache en allant dans Système puis Gestion du cache et en cliquant sur le bouton Purger le cache Magento.
5 Bloquer l'accès au back office par IP
Votre nouvelle adresse URL d'administration est maintenant "mon-nouvel-admin", nous allons autoriser uniquement votre adresse IP (ici 1.2.3.4). Modifier votre fichier .htaccess pour y ajouter le code suivant :
RewriteCond %{REMOTE_ADDR} !^1.2.3.4
RewriteRule ^(index.php/)?mon-nouvel-admin/ - [L,R=403]
Et pour finir, un audit de sécurité de votre site Magento est vivement conseillé pour compléter ces quelques mesures préventives.

Par Thibaut Pietri
Derniers articles
SEO vs GEO : pourquoi le trafic des moteurs IA ne ressemble pas au trafic Google
29 mai 2026 Le SEO reste indispensable pour générer du trafic depuis Google. Mais avec l’arrivée des moteurs IA comme ChatGPT, Gemini, Perplexity ou Copilot, une nouvelle logique apparaît : le GEO.
Audit GEO : 10 points pour savoir si votre site est prêt pour les moteurs IA
22 mai 2026 Le GEO, ou Generative Engine Optimization, consiste à optimiser un site pour qu’il soit mieux compris, cité et recommandé par les moteurs de recherche IA comme ChatGPT, Gemini, Perplexity ou les nouvelles réponses générées de Google. Mais votre site est-il vraiment prêt ? Voici une checklist en 10 points essentiels pour réaliser un premier audit GEO.
Protéger vos formulaires sans réduire votre taux de conversion : quelles solutions captcha choisir ?
30 avril 2026 Les captchas sont devenus indispensables pour protéger les formulaires d’un site web contre le spam et les robots. Formulaire de contact, inscription, demande de devis… tous peuvent être ciblés. Mais toutes les solutions ne se valent pas.