Réparez un site Web Magento piraté en une demi-heure !

Avez-vous une boutique e-commerce en ligne réussie? Êtes-vous pressé de protéger votre magasin contre de nombreux pirates sur Internet et d'autres failles de sécurité ? Cet article particulier parlerait de manière holistique des méthodes utiles pour sécuriser votre boutique en ligne Magento. Restez à l'écoute!

La sécurité a été la principale préoccupation de tous les propriétaires d'entreprise en ligne d'une boutique en ligne, car les sites Web de commerce électronique sont une cible facile pour les pirates informatiques avancés en raison de la disponibilité des informations personnelles et du paiement. Par conséquent, sécuriser votre boutique e-commerce Magento et en faire une plate-forme protégée devient essentiel pour gagner la confiance des utilisateurs.

Magento a un impact majeur sur l'industrie en ligne en raison de ses fonctionnalités précieuses et de ses mises à jour quotidiennes. Il s'agit d'un CMS (système de gestion de contenu) largement adopté pour les sites Web d'entreprise, car il est bien équipé de fonctionnalités de sécurité préinstallées. La communauté Magento affirme que plus de 250 000 marchands dans le monde utilisent Magento comme plate-forme commerciale.

Supposons que vous cherchiez à démarrer une activité en ligne. Dans ce cas, vous devez toujours opter pour la solution Magento pour votre boutique e-commerce afin d'améliorer l'expérience d'achat des utilisateurs, maximisant ainsi vos revenus.

Détectez si votre site Magento est piraté !

Les moyens que nous allons vous expliquer ici sont assez simples à suivre et permettraient de sortir votre site du piratage le plus rapidement possible. Cependant, nous vous suggérons tout de même de vous assurer que votre site Magento ne rencontre aucun dysfonctionnement et soit piraté !

Certaines applications vous aident fortement dans cette affaire.

Scanner de sécurité Magento pour trouver les logiciels malveillants et les vulnérabilités

Le dernier rapport de sécurité d'Astra montre que soixante-deux pour cent du site Magento présente au moins une vulnérabilité .

Comment vous assurez-vous que votre boutique Magento ne présente aucun risque de sécurité en ligne ?

L'une des choses essentielles à faire est de mettre en œuvre des conseils de renforcement pour se protéger de toute menace en ligne et utiliser le WAF basé sur le cloud. Cependant, que se passe-t-il si vous souhaitez voir la posture de sécurité de votre boutique de commerce électronique ? Comment saurez-vous si cela ne contient pas de faille de sécurité ?

C'est pourquoi vous avez besoin d'un scanner de sécurité pour exécuter toutes sortes de tests à la demande et les planifier. Voici les scanners populaires que vous pouvez utiliser pour exécuter sur votre site Web Magento.

MageReport

MageReport est l'un des meilleurs scanners pour vérifier gratuitement le site Magento à la recherche de vulnérabilités de sécurité connues. Oui c'est vrai. Il est entièrement GRATUIT , y compris les éléments suivants.

• Divulgation administrative
• Correctif de sécurité 6482, 9652, 6788, 7405
• Vulnérabilité RCE/webforms
• API exposée
• Visiter les logiciels malveillants
• Attaques par force brute
• Javascript
• Logiciels de rançon
• Et beaucoup plus…

MageReport ne se contente pas de vérifier le cœur de Magento ; cependant également certaines extensions tierces disponibles pour toutes les vulnérabilités. Vous pouvez vous inscrire sur MageReport pour être informé d'une nouvelle vulnérabilité trouvée chaque fois que vous interagissez avec votre côté administrateur.

Foregenix

External Scan by The Foregenix test et offre un rapport de haut niveau sur les points suivants.

• Magmi
• Vol à l'étalage Magento
• Version obsolète
• Logiciel malveillant Cloud Harvester
• Contrôle de version non protégé
• Piratage de carte de crédit
• XSS, attaque RSS
• Prise en charge/divulgation par l'administrateur
• Fuite de secrets

Le rapport est affiché à l'écran et envoyé également à votre adresse e-mail au format PDF.

Testeur de correctifs de sécurité

Patch Tester est spécialement développé pour vous aider si votre boutique en ligne est vulnérable aux derniers risques de sécurité.

Si vous cherchez à vérifier le correctif de sécurité, ce sera un outil rapide et pratique.

SUCURI

SUCURI n'est pas particulièrement pour Magento ; cependant, SUCURI aiderait à tester le site pour de nombreux composants. Utile pour analyser rapidement votre site Web contre les principales menaces en ligne.

• Liste noire
• Logiciels malveillants
• Défigurations
• SPAM injecté

Balayage de mage

Mage Scan n'est pas un scanner en ligne ; à la place, vous devez l'installer sur le serveur. Si vous souhaitez tester le site Web intranet Magento , Mage Scan pourrait être le meilleur choix pour vous.

Analyse de sécurité Magento

Un outil de numérisation pour la sécurité par Magento Commerce. Vous devez créer un compte (c'est entièrement GRATUIT) et vérifier la propriété du site Web avant d'exécuter l'analyse. La meilleure chose à faire est que vous pouvez programmer des analyses régulières ou hebdomadaires et obtenir le rapport adéquat à votre adresse e-mail.

Acunetix

Un scanner de vulnérabilités basé sur le Web et prêt pour l'entreprise qui ne ralentit pas le site Web pendant l'exécution d'une analyse. Acunetix fournit une analyse de sécurité complète couvrant non seulement Magento principalement, mais globalement tout ce qui concerne le site Web.

Les résultats de l'analyse incluent une résolution possible qui aide les experts en sécurité et les programmeurs à résoudre rapidement les problèmes. Vous pouvez les suivre sur votre outil de suivi des bogues préféré comme GitHub, Jira, Bugzilla, etc.

Si vous avez besoin de propriétaires d'entreprise ou d'agents de conformité, vous pouvez produire les 10 meilleurs rapports HIPAA, PCI, OWASP et DSS.

Conseils de sécurité pour les magasins Magento

Le danger le plus considérable des attaques de pirates informatiques est que vous ne pourriez presque pas les révéler avant qu'il ne soit trop tard. Nous devons donc prendre soin de la sécurité du site Web à l'avance et vérifier quotidiennement son état de santé.

Utilisez uniquement la dernière version de Magento

De nombreux utilisateurs de Magento pensent que la mise à jour de la dernière version de Magento n'est pas une opération sécurisée. par conséquent, ils s'abstiennent de mettre à niveau leurs anciens sites Web Magento. Ce n'est pas vrai; en fait, les programmeurs passent toujours par un débogage strict et des tests méticuleux et vérifient les problèmes de correctifs de sécurité dans la dernière version lancée pour fournir une version sans erreur de The Magento.

Par conséquent, la mise à jour de votre site Web Magento vers la dernière version de Magento est nécessaire et conseillée. Vous pouvez tirer parti de plusieurs avantages en mettant à jour, tels que l'ignorance des temps d'arrêt inutiles, la prévention du piratage sur votre site Web de commerce électronique, les mises à niveau essentielles, les nouvelles fonctionnalités, les corrections de bogues et bien plus encore.

URL d'administration unique et personnalisée

Les pirates pourraient facilement forcer brutalement la page de connexion Magento de l'administrateur. Si vous y accédez via www.xyz123.com/admin. Par conséquent, pour éviter que votre site Web en ligne ne soit attaqué par des pirates et des utilisateurs qui aiment spammer votre site Web, vous devez toujours chercher à créer une URL d'administration unique et personnalisée, difficile à traverser pour les pirates.

L'ajout d'une clé secrète à l'URL qui n'est autorisée qu'aux personnes éligibles pour accéder au panneau d'administration est un conseil conseillé pour améliorer la sécurité de votre boutique Magento.

Utiliser l'authentification à deux facteurs

Créer un mot de passe difficile pour votre site Web de commerce électronique basé sur Magento ne suffit pas. C'est la raison pour laquelle une tonne de propriétaires de boutiques en ligne optent désormais pour 2FA (authentification à deux facteurs) pour éviter les menaces en ligne pour leur site Web de commerce électronique.

Cela dit, Magento propose une extension fiable de l'authentification à deux facteurs, qui aide les propriétaires de boutiques en ligne à mettre à jour la sécurité de leur connexion administrateur Magento et les protège des risques de sécurité liés aux mots de passe.

Utiliser une connexion cryptée (HTTPS/SSL)

Il y a toujours un risque de récupération de données chaque fois que vous envoyez des données, comme des identifiants de connexion sur une connexion non chiffrée. Par conséquent, l'utilisation d'une connexion sécurisée devient cruciale pour les magasins Magento.

Avoir une URL SSL/HTTPS sécurisée est l'élément le plus critique qui rend votre site Web Magento conforme à la norme PCI. De cette façon, vous pouvez offrir une expérience d'achat sécurisée à vos utilisateurs et gagner leur précieuse confiance.

Ne définissez pas les autorisations de fichiers sur 777

Magento suggère de ne conserver aucune autorisation de fichier 777 pour les fichiers et propose de les modifier dès que vous avez terminé la réécriture.

Utiliser le FTP sécurisé

Les interceptions de mot de passe FTP sont les moyens les plus courants de se faire pirater. Vous pouvez éliminer cette vulnérabilité en utilisant les protocoles de fichiers SSH (SFTP), qui nécessitent la soumission de fichiers privés uniquement pour l'accès et offrent un cryptage supplémentaire des informations d'identification.

Effectuer des sauvegardes quotidiennes de Magento

Les sauvegardes quotidiennes sont parmi les moyens les plus efficaces de réduire le risque d'attaques et constituent un moyen efficace de récupération.

Désactiver l'indexation des répertoires

Pour cacher les fichiers principaux de Magento au pirate, vous pouvez désactiver l'indexation des répertoires et votre sécurité devient plus forte.

Ne réutilisez jamais le mot de passe Magento ailleurs

Cette déclaration est entièrement dédiée à tous les mots de passe essentiels que vous utilisez, et les mots de passe Magento ne font pas exception. Utilisez les mots de passe Magento uniquement pour le panneau d'administration, pas ailleurs.

Sélectionnez des mots de passe forts

Des mots de passe hautement sécurisés et robustes vous permettent de vous sentir protégé des données de vente et d'information des utilisateurs. Il serait utile d'utiliser des mots de passe suffisamment longs avec des lettres minuscules et majuscules, des caractères spéciaux et des chiffres.

Éliminer les failles de messagerie

Dans la mesure où Magento propose la fonction de récupération des mots de passe, assurez-vous que votre email n'est pas connu et gardez ses mots de passe entièrement sécurisés, les mêmes que les mots de passe Magento.

Vérifiez la sécurité de Magento quotidiennement

La vérification quotidienne de la sécurité de Magento vous tiendra au courant et calme sur la santé des magasins en ligne. À cette fin, vous pouvez utiliser les extensions Magento ou engager n'importe quelle société d'audit.

Accorder l'accès administrateur aux adresses IP approuvées uniquement

Si vous entrez dans la zone d'administration à partir d'une extraction définie des adresses IP , vous pouvez restreindre l'accès des autres à l'intérieur du fichier .httpaccess. Pour y définir un pull d'adresses ou certaines adresses IP et renforcer la sécurité globale.

Tenir à jour le logiciel antivirus

A jour, votre logiciel antivirus remplit une tâche essentielle dans le cadre de la politique de sécurité. Les produits commerciaux offrent généralement une protection robuste contre les virus et les chevaux de Troie, et vous devez mieux payer pour leurs produits et services que de subir des fuites de données.

N'enregistrez pas les mots de passe dans votre navigateur

Enregistrer les mots de passe dans votre navigateur peut être pratique, mais en fait pas judicieux. Ceux qui ont accès à l'ordinateur peuvent facilement lire le nom d'utilisateur et le mot de passe et les utiliser.

Utilisez les avantages de la communauté Magento

Étant donné que Magento possède une énorme communauté de développeurs et d'utilisateurs, vous pouvez utiliser plusieurs guides, tutoriels, fils de discussion et quelques bons conseils pour assurer la sécurité de votre boutique.

Sachez d'où vient votre navigateur

Votre navigateur est le médiateur central entre le Web et vous. Il stocke vos cookies, mots de passe et URL, vous assurant d'en utiliser un vérifié par un fournisseur de confiance. Ou bien tous les efforts de sécurité sont inutiles.

Empêcher l'injection de MySQL

Lorsque les pirates réussissent à violer la base de données MySQL. Ils peuvent accéder discrètement à toutes les informations de votre magasin, annuler des transactions, gâcher les données des clients, et bien plus encore. Pour éliminer cela, Magento offre un support fiable pour vaincre toutes les attaques par injection MySQL avec la version et les correctifs les plus récents. L'ajout d'un puissant pare-feu d'application Web est conseillé pour assurer la bonne protection de votre site Web de commerce électronique.

Choisissez le bon hébergement Magento

Depuis un certain temps, ceux qui utilisent le commerce en ligne savent maintenant que l'hébergement mutualisé n'est pas un choix sûr pour toute entreprise de commerce électronique, et le commerce électronique ne fait pas exception. Par conséquent, la plate-forme d'hébergement géré est le bon choix pour vous si vous ne voulez pas compromettre la sécurité de votre commerce électronique Magento. En plus de cela, l'hébergement géré couvre l'ensemble des correctifs et de la sécurité du serveur et garantit une sécurité Magento robuste.

Plan de sauvegarde puissant

Un plan de sauvegarde, c'est forcément de nombreuses astuces en termes de confidentialité et de sécurité. Si le site Web est piraté ou suppose qu'il se bloque pour une raison quelconque, un plan de sauvegarde garantira toujours que vous ne subissez pas de perturbations liées aux services. En stockant les fichiers de sauvegarde de votre site Web, vous pouvez facilement éviter la perte de données.

Le Magento 2 contre cela comme ayant un ensemble d'autorisations de système de fichiers qui effectuent toutes les vérifications automatiques en créant un rôle particulier dans la plate-forme. En dehors de cela, vous devez toujours pratiquer l'utilisation des sauvegardes sur disque dur et du stockage basé sur le cloud pour éviter toute interruption.

Meilleur correctif possible d'un site Magento

Les boutiques en ligne Magento sont piratées avec succès et non obligatoirement en raison des mesures de sécurité inappropriées de Magento au lieu des mesures de sécurité insuffisantes de l'ensemble de l'environnement. En d'autres termes, ce n'est pas toujours Magento qui est à blâmer.

Si un segment de votre système ou serveur ouvre la fenêtre à un pirate informatique, alors Magento devient également vulnérable. Il est essentiel de surveiller et de mettre à jour Magento et l'ensemble de la pile de serveurs, alias LEMP (Linux, MySQL, NGINX, PHP) ou LAMP (Linux, MySQL, Apache, PHP).

Nous aborderons les mesures de sécurité de Magento plus tard à la fin de l'article.

Mon site Magento a été piraté. Que dois-je faire pour récupérer ?

Étape 1. Assurez-vous que le hack est là

Lorsqu'un pirate informatique attaque votre site Web, il acquiert tous les droits du composant ou du système qu'il pirate. Par exemple, supposons qu'il pénètre dans votre système à l'aide de NGINX, il n'aura accès qu'à www-data, qui n'est pas un utilisateur privilégié. Un pirate avisé essaierait toujours de rester à l'intérieur du système par tous les moyens. Ils rechercheraient des vulnérabilités plus faciles et locales pour explorer le type de données auxquelles ils peuvent accéder et comment ils peuvent augmenter leurs droits et privilèges.

Leur objectif final est le répertoire racine du serveur. Une fois qu'ils ont obtenu le privilège d'accéder à la racine, il y a un risque que vous ne soyez pas capable de détecter tous les changements que les pirates pourraient potentiellement apporter au système et qui continueront d'influencer sa capacité de performance. Les pirates pourraient cacher toutes leurs traces afin que vous ne puissiez même pas les faire sortir.

Pour savoir jusqu'où les pirates pourraient venir, vous devez effectuer une analyse approfondie et appropriée de chaque activité et changement apporté à l'environnement. Cette opération prend du temps. Le temps que vous ne pouvez pas perdre.

Par conséquent, vous devez comprendre si votre boutique en ligne Magento a été piratée immédiatement et vous devez prendre des mesures pour éviter toute conséquence défavorable.

Signes de piratage de Magento :

• Réclamations des clients sur l'activité des cartes de crédit.
• Avertissements de la liste noire.
• Comportement aberrant de la page Magento.
• Des activités malveillantes sont signalées par le fournisseur d'hébergement.
• Des mots-clés indésirables apparaissent sur le site.
• Modifications inconnues dans des dossiers ou des fichiers.
• Modifications à l'intérieur du noyau de Magento.
• Charge inhabituelle sur le serveur.
• Utilisateurs et sessions d'administration inconnus.

Étape 2. Décidez - Ne pas faire de temps d'arrêt ou de temps d'arrêt

Une fois que vous avez remarqué quelque chose de la liste ci-dessus dans votre site Web Magento, n'hésitez pas à contacter une société de développement Magento ou votre administrateur système. Ils analyseront rapidement votre site Web et vous diront ce qui se passe et quelle est la solution.

À partir de là, vous devrez prendre une décision essentielle : mettre votre site Web en mode indisponibilité ou non.

Le temps d'arrêt est la durée pendant laquelle votre site Web sera indisponible pour chaque utilisateur. Vous éteignez le serveur du réseau et le magasin n'effectuera aucune activité. Vos utilisateurs ne pourront pas effectuer de paiements et de commandes. Un pirate ne serait pas non plus capable de prendre le contrôle à distance de votre site Web et de vous causer des dommages.

Supposons que votre magasin traite des centaines de commandes par heure. Un arrêt de plusieurs heures entraînerait un manque à gagner considérable. Ensuite, vous pouvez essayer de tout réparer en déplacement.

Mais si vous pouviez vous permettre une indisponibilité de plusieurs heures, nous vous suggérons de désactiver le serveur du réseau.

Étape 3. Configurez une installation propre et sûre de Magento

Donc, vous avez désactivé votre serveur.

Vous devez maintenant réinstaller Magento sur le nouveau serveur en utilisant la version propre et la plus récente.

C'est la méthode la plus sûre pour vous assurer que votre boutique ne subira pas la même attaque de pirates et le moyen le plus rapide de remettre l'entreprise en ligne afin que vous ne perdiez pas de profit.

Nous suggérons d'installer une version de Magento non pas à partir de la sauvegarde mais de celle qui est stockée dans le référentiel git.

Pourquoi utiliser la version Magento du dépôt git ?

Lorsque vous créez une boutique Magento, vous utilisez un serveur local. Votre backend et votre frontend ne sont accessibles à personne d'autre que votre équipe - testeurs, administrateur, développeurs, etc. La dernière version du magasin est téléchargée à partir du référentiel git. De là, il va à un site Web en direct.

Cela signifie que la dernière version stockée dans le référentiel git est absolument propre à 99,99 %. Même s'il a la même vulnérabilité, vous pouvez être sûr qu'une 3ème personne n'y a pas encore accédé. Vous aurez le temps d'éliminer cette vulnérabilité lorsque vous lancerez la boutique. Cependant, si vous installez la version de Magento à partir de la sauvegarde, il y a un risque que le script malveillant d'un pirate soit déjà là.

Étape 4. Installez tous les logiciels et correctifs requis.

Une fois que vous avez un nouveau serveur avec une installation propre de Magento, assurez-vous que toutes les mises à jour logicielles et les correctifs de sécurité Magento sont également installés.

Un correctif est un ensemble de fichiers de base modifiés qui résout les problèmes de sécurité ou de vulnérabilité détectés dans Magento.

Il existe un outil fantastique - MageReport.com - qui vous permet de vérifier immédiatement si tous les correctifs critiques ont été installés et quels sont les problèmes de sécurité fondamentaux de votre site Web.

Étape 5. Configurez la nouvelle base de données.

Lorsque vous avez une configuration Magento propre et la plus récente, définissez la version la plus récente de la base de données du client à partir de votre sauvegarde. Cette base de données contient toutes les transactions les plus récentes et toutes les commandes récentes passées dans la boutique de commerce électronique. Avec cela, vous pouvez restaurer votre activité en ligne à partir du moment où vous avez éteint le serveur.

Moment important.

Si la boutique Magento est piratée, vous devez en informer tous vos utilisateurs, quelles que soient les informations des utilisateurs que vous stockez. Cependant, dans la pratique, il n'y a guère de propriétaire de magasin qui se sentirait impatient à l'idée de perdre la confiance de son utilisateur. C'est au minimum.

Si vous effectuez des paiements à l'intérieur de la boutique Magento via des passerelles de paiement sécurisées, un pirate ne pourra pas accéder aux informations d'identification de la carte de crédit de vos utilisateurs. Toutes les passerelles de paiement célèbres comme Amazon Payments ou PayPal fournissent un cryptage avancé. Si vous stockez les données de paiement d'un client dans votre base de données, il est indispensable d'informer vos utilisateurs d'un piratage et de leur demander de surveiller leurs transactions par carte de crédit.

Étape 6. Analyser et surveiller

Vous avez configuré la base de données et reconfiguré votre boutique en ligne. Vous pouvez accepter des paiements et vous sentir assuré que le pirate est laissé en dehors du système.

Vous avez maintenant le temps d'analyser ce qui a conduit à une attaque réussie et d'éliminer toutes ces vulnérabilités.

Les vulnérabilités typiques de Magento

• Ouvrez la vulnérabilité du serveur dans le "répertoire de téléchargement d'images"
• Les mots de passe faibles dans le panneau d'administration ou FTP (par exemple, "nom_entreprise", "admin", "11111", etc.)
• Version obsolète du système de gestion de contenu ou installation de Magento
• Hébergeur Web non sécurisé
• Extensions ou plugins bogués

Si le piratage provoque un comportement inhabituel du site Magento, vous le remarquerez rapidement.

Mais toutes les attaques ne conduisent pas au changement apparent du comportement de Magento. Votre magasin pourrait fonctionner de la manière habituelle et vous pourriez penser que tout va bien même lorsqu'un piratage a eu lieu. Par conséquent, vous devez observer le nouveau comportement du serveur pour suivre toutes les connexions inconnues, s'il existe une activité inconnue dans les journaux, s'il existe une activité similaire qui conduit au piratage.