Top 10 des hacks pour sécuriser votre panneau d'administration dans Magento

Magento est une scène commerciale Internet qui dirige le monde. Magento, comme le dit BuiltWith, gère plus de 22% des 100 000 principaux sites de commerce électronique. C'est pour construire des sites solides et très utilitaires. Magento est un véritable fournisseur de sécurité. À quelle fréquence l'avez-vous entendu jusqu'à présent ?

Passez votre temps à évaluer certaines approches pour protéger votre panneau d'administration et vous débarrasser du piratage d'un site.

1.Choisissez le nom d'utilisateur et le mot de passe de l'administrateur complexe

– Le mot de passe doit inclure des lettres majuscules, minuscules, des chiffres et quelques symboles du clavier

– Créez un mot de passe d'au moins huit caractères

– Essayez d'éviter d'utiliser le nom de l'entreprise. Vous pouvez utiliser la forme abrégée du nom qui n'est clair que pour vous.

– Globalement, nous vous recommandons de changer les mots de passe tous les 3 à 5 mois.

2. N'utilisez pas le même mot de passe partout

Pour vous abstenir d'échanger votre back-end Magento, veuillez utiliser divers mots de passe pour des enregistrements isolés. Il existe un risque fiable de piratage de sites externes, votre mot de passe Magento peut donc être impuissant. Essayez de ne pas réutiliser le mot de passe Magento pour quoi que ce soit d'autre.TE : lorsque vous gérez des concepteurs externes, vous feriez mieux de créer un enregistrement différent avec des certifications spéciales.

3. Ne pas enregistrer le mot de passe dans le navigateur

La fonctionnalité de sauvegarde des mots de passe du navigateur est un point faible. Il serait préférable de ne pas stocker de mot de passe sur votre ordinateur. Ainsi, nous vous recommandons d'utiliser des services de gestion de mots de passe tiers.

4. Demander une connexion HTTPS/SSL

C'est l'une des techniques de sécurité les plus importantes pour le site Web de Magento. Comme vous le savez peut-être, les pages Web transportées avec HTTP:// ne sont pas cryptées. Inversement, lorsque l'URL de la page commence par HTTPS:// , cela signifie qu'elle utilise Secure Sockets Layer. En utilisant la norme SSL, vous protégez les transactions en ligne avec vos clients et empêchez le piratage de votre site. De plus, https au début de l'URL vous aidera à renforcer la crédibilité de votre magasin. Nous trouvons que les visiteurs modernes sont bien informés, vous pouvez donc voir qu'ils seraient plus enclins à traiter avec vous.

Il y a quatre étapes simples pour obtenir une connexion HTTPS:// : –

– Allez dans Panneau d'administration > Système > Configuration > Général > Web > Sécurisé.
– Modifiez le paramètre Base_url de « http » à « https »
– Activer l'utilisation d'URL sécurisées dans Frontend
– Activer l'utilisation d'URL sécurisées dans Admin

Avant de passer de http à https sur votre site Web, veuillez demander à votre administrateur de configurer une connexion cryptée SSL dans Apache.

5. Changez l'URL d'administration par défaut en URL personnalisée

Vous pouvez utiliser une autre approche pour lutter contre les attaques par force brute. Nous découvrons fréquemment comment accéder à la page d'administrateur magento via l'URL de l'administrateur. Les programmeurs ont tendance à penser que la méthode de l'administrateur est l'approche la plus simple pour commencer à spéculer sur votre nom d'utilisateur et vos mots de passe. De cette façon, nous vous prescrivons de changer le mode administrateur en quelque chose de difficile à casser. Vous pouvez modifier le mode administrateur de l'une des manières suivantes :

Allez sur Admin > Magasins > Configuration > Avancé > Admin

6. Testez le magasin pour les problèmes de sécurité ouverts

En gardant à l'esprit l'objectif final d'améliorer la sécurité de votre site Magento, vous devez actualiser les correctifs de sécurité Magento. Tous les correctifs sont accessibles en téléchargement sur le site officiel. Une fois que vous avez réparé votre boutique, vous pouvez tester la bonne mise en place des correctifs en utilisant des administrations gratuites. Ici, vous pouvez utiliser un scanner d'impuissance en ligne pour les correctifs : SUPEE-5344, SUPEE-5994, SUPEE-6285, SUPEE-6482 et XML XXE van 2012.

Vous pouvez également utiliser un autre scanner pour vérifier si votre magasin est encore impuissant face aux derniers problèmes de sécurité.

7. Effectuez une sauvegarde de votre site Web

Créez votre stratégie de sauvegarde et ajoutez une autre couche de sécurité. Nous vous recommandons fortement de stocker vos fichiers de sauvegarde sur un serveur complètement différent de celui hébergé sur votre site Magento. Mieux vaut faire plusieurs sauvegardes conservées dans des emplacements différents.

8. Utiliser l'authentification à deux facteurs

Assurez la sécurité de votre administrateur avec l'authentification 2F. L'authentification à deux facteurs est basée sur l'application d'authentification Google. Une fois que les administrateurs ont scanné le code QR, ils obtiennent un numéro aléatoire à six chiffres qui est généré et modifié toutes les 30 secondes. Ce n'est qu'après avoir entré la clé de vérification dans les champs utilisateur et mot de passe que les administrateurs pouvaient accéder au panneau d'administration magento.

Cette méthode n'est pas disponible en magenta par défaut. Cependant, l'adoption de cette page de connexion est profondément prescrite. Dans ce sens, vous pouvez utiliser des augmentations de confiance pour exécuter cette utilité de sécurité. Expérimentez avec l'administration améliorée, la sécurité pour superviser la sécurité transversalement sur le site Magento.

Avec le module, vous obtiendrez une assurance supplémentaire en définissant une vérification à deux considérations pour indiquer les clients administrateurs.

9. Utilisez la dernière version de magento pour votre site Web

Une chose plus importante dans la stratégie de sécurité est l'utilisation de la dernière version de Magento dans le développement de Magento. Nous vous recommandons fortement de mettre à jour vos versions de Magento pour les nouvelles versions. Chaque mise à niveau est accompagnée de nouvelles fonctionnalités disponibles, de problèmes de fonctionnalité résolus et de correctifs de sécurité liés aux dernières attaques. Une fois que vous avez appliqué des correctifs de sécurité pour votre site Web, vous montez d'un cran en matière de sécurité. Restez informé des dernières versions et ne faites jamais craquer un site Magento.

10. Backend magento sécurisé, téléchargeur Magento Connect et flux RSS avec liste blanche IP

Une autre astuce pour empêcher le piratage d'administrateur magento est la liste blanche d'adresses IP. Si vous vous êtes habitué à accéder à la page de connexion administrateur à partir des mêmes ordinateurs, cela pourrait être une bonne décision de sécurité pour vous. Assurez-vous que seuls les utilisateurs souhaités ont accès à votre administrateur magento.

Ainsi, nous vous recommandons fortement de restreindre l'accès administrateur aux adresses IP autorisées. Il existe trois sources principales qui peuvent être utilisées pour compromettre la sécurité de votre site Web :

Le téléchargeur Magento Connect est connu comme point d'entrée pour les attaques par force brute ces derniers temps. Il serait très utile de changer l'URL du gestionnaire de connexion. Vous pouvez spécifier un chemin complètement différent afin de semer la confusion chez les pirates. De plus, vous pouvez limiter l'accès à /downloader/ location par adresse IP via le fichier .htaccess.

Les flux RSS ont été exposés à des attaques par force brute car ils ont les mêmes informations d'identification d'administrateur. Si vous n'avez pas besoin que les utilisateurs accèdent au flux RSS , vous pouvez utiliser la fonction d'accès restreint. Après avoir créé une liste blanche d'adresses IP, vous pouvez définir la redirection des demandes des visiteurs restreints vers la page principale.

Il est extrêmement important de verrouiller votre panneau d'administration magento. Nous avons rencontré des personnes qui ont bloqué des adresses IP de tous les autres pays. Cela fonctionne vraiment si vous êtes certain que vos consommateurs sont des concitoyens.

Connexe: Comment réinitialiser le mot de passe administrateur dans Magento