Adobe, éditeur du logiciel Magento, a annoncé le 26 mars 2019 avoir identifié 37 failles de sécurité importantes et critiques sur les versions 1 et 2.
Une des failles critiques est une faille de type injection SQL et pourrait être exploitée à des fins de vols de coordonnées bancaires (card skimming).
Quelques mesures simples à metre en place :
1 Sauvegarder
Avant de procéder à quoi que ce soit, on s'assure que l'hébergement de votre site est une sauvegarde journalière du système de fichiers et de votre base de données. On vérifie également si les sauvegardes sont conservées au moins sur 7 jours.
2 Mettre à jour Magento
Il est primordial d'effectuer des mises à jour mineures régulières de votre CMS. Comme pour tout logiciel open source, les failles connues peuvent être exploitées rapidement par les pirates. Il est vivement conseillé de mettre à jour sur un environnement de test avant de le faire en production. La mise à jour vers une version majeure est à étudier au cas par cas car les modules ne seront pas forcément compatibles.
3 Supprimer les comptes inutiles
Vérifiez régulièrement les accès administrateurs. Supprimez les comptes qui ne sont pas ou plus utilisés et modifiez régulièrement les mots de passe.
4 Modifier l'url d'administration
Changer le chemin par défaut du module d'administration en éditant le fichier app/etc/local.xml
<routers>
<adminhtml>
<args>
<frontName><![CDATA[mon-nouvel-admin]]></frontName>
</args>
</adminhtml>
</routers>
Il faut ensuite rafraichir le cache en allant dans Système puis Gestion du cache et en cliquant sur le bouton Purger le cache Magento.
5 Bloquer l'accès au back office par IP
Votre nouvelle adresse URL d'administration est maintenant "mon-nouvel-admin", nous allons autoriser uniquement votre adresse IP (ici 1.2.3.4). Modifier votre fichier .htaccess pour y ajouter le code suivant :
RewriteCond %{REMOTE_ADDR} !^1.2.3.4
RewriteRule ^(index.php/)?mon-nouvel-admin/ - [L,R=403]
Et pour finir, un audit de sécurité de votre site Magento est vivement conseillé pour compléter ces quelques mesures préventives.
Par Thibaut Pietri
Ingénieur informatique spécialisé réseau, basé à Toulouse, j'ai plus de 25 ans d'expérience en développement et sécurisation de sites Internet, Extranet & applications mobiles autour des technologies LAMP (Linux/Apache/MySQL/PHP) sur différents outils de gestion de contenu (Wordpress, Prestashop, Drupal, Isens Evolution...).
Derniers articles
Vidéo en 2026 : ce qui change
4 février 2026 En 2026, la vidéo n’est plus un simple format « sympa » : c’est devenu le langage central du digital. Visibilité, notoriété, conversion, marque employeur, communication interne… tout passe par des contenus vidéo plus réguliers, plus ciblés et mieux structurés
IA et textes de site : erreurs courantes à éviter
27 janvier 2026 L’intelligence artificielle permet aujourd’hui de rédiger rapidement des textes pour un site web. Pages de présentation, services, articles de blog… tout semble plus simple et plus rapide. Mais utiliser l’IA sans méthode peut produire l’effet inverse.
Comment réagir face à des avis négatifs ?
26 janvier 2026 Un avis négatif n’est jamais agréable, mais ce n’est pas une fatalité. Bien géré, il peut au contraire renforcer votre crédibilité.