Adobe, éditeur du logiciel Magento, a annoncé le 26 mars 2019 avoir identifié 37 failles de sécurité importantes et critiques sur les versions 1 et 2.
Une des failles critiques est une faille de type injection SQL et pourrait être exploitée à des fins de vols de coordonnées bancaires (card skimming).
Quelques mesures simples à metre en place :
1 Sauvegarder
Avant de procéder à quoi que ce soit, on s'assure que l'hébergement de votre site est une sauvegarde journalière du système de fichiers et de votre base de données. On vérifie également si les sauvegardes sont conservées au moins sur 7 jours.
2 Mettre à jour Magento
Il est primordial d'effectuer des mises à jour mineures régulières de votre CMS. Comme pour tout logiciel open source, les failles connues peuvent être exploitées rapidement par les pirates. Il est vivement conseillé de mettre à jour sur un environnement de test avant de le faire en production. La mise à jour vers une version majeure est à étudier au cas par cas car les modules ne seront pas forcément compatibles.
3 Supprimer les comptes inutiles
Vérifiez régulièrement les accès administrateurs. Supprimez les comptes qui ne sont pas ou plus utilisés et modifiez régulièrement les mots de passe.
4 Modifier l'url d'administration
Changer le chemin par défaut du module d'administration en éditant le fichier app/etc/local.xml
<routers>
<adminhtml>
<args>
<frontName><![CDATA[mon-nouvel-admin]]></frontName>
</args>
</adminhtml>
</routers>
Il faut ensuite rafraichir le cache en allant dans Système puis Gestion du cache et en cliquant sur le bouton Purger le cache Magento.
5 Bloquer l'accès au back office par IP
Votre nouvelle adresse URL d'administration est maintenant "mon-nouvel-admin", nous allons autoriser uniquement votre adresse IP (ici 1.2.3.4). Modifier votre fichier .htaccess pour y ajouter le code suivant :
RewriteCond %{REMOTE_ADDR} !^1.2.3.4
RewriteRule ^(index.php/)?mon-nouvel-admin/ - [L,R=403]
Et pour finir, un audit de sécurité de votre site Magento est vivement conseillé pour compléter ces quelques mesures préventives.
Par Thibaut Pietri
Ingénieur informatique spécialisé réseau, basé à Toulouse, j'ai plus de 20 ans d'expérience en développement et sécurisation de sites Internet, Extranet & applications mobiles autour des technologies LAMP (Linux/Apache/MySQL/PHP) sur différents outils de gestion de contenu (Wordpress, Prestashop, Drupal, Isens Evolution...).
Derniers articles
Les risques de sécurité liés aux métadonnées des photos
14 août 2019 En photographie numérique, les métadonnées sont stockées à l'intérieur d'un fichier JPG et permettent de décrire un certain nombre d'informations complémentaires. Ces métadonnées représentent un risque de sécurité.
Comment vérifier si votre site internet a été piraté ou infecté ?
9 août 2019 Le piratage d'un site web peut parfois ne pas être visible directement avec un navigateur web. En effet le piratage peut avoir des objectifs variés. Certains ont tout intérêt à rester invisible.
L'authentification à facteurs multiples pour protéger votre site web
7 août 2019 L'authentification à facteurs multiples est un système de sécurité combinant au moins deux modes d'identification différents. Explications.