Principales stratégies de sécurité pour protéger votre boutique Magento

(Ceci est un article invité de nos amis de JetRails, un fournisseur d'hébergement Magento proposant des configurations client sur des serveurs dédiés dans le cloud AWS.)

Votre vitrine Magento est une cible de grande valeur pour les pirates et nécessite des mesures de sécurité strictes pour minimiser ses vulnérabilités. En tant que fournisseur d'hébergement dédié à Magento, JetRails est souvent appelé en tant qu'intervenant d'urgence pour lutter contre les attaques malveillantes. Nous avons une expérience directe de l'impact catastrophique qu'une faille de sécurité peut avoir sur votre entreprise.

Suivre les meilleures pratiques et protocoles de sécurité est la meilleure défense pour protéger votre vitrine Magento. Utilisez cette liste de contrôle comme guide pour les mesures de sécurité contre les menaces les plus courantes, notamment l'injection de code malveillant, les logiciels malveillants, les attaques par force brute et le redoutable DDoS.

Meilleures pratiques de sécurité Magento

Consultez notre liste de contrôle des meilleures pratiques de sécurité Magento pour vous assurer d'être protégé contre les menaces en ligne les plus courantes.

Emplacements sécurisés par défaut

Chaque installation de Magento comporte plusieurs dossiers principaux utilisés à des fins administratives. Ces points d'entrée sont situés par défaut dans /admin, /downloader, /var et divers points de terminaison /rss. Étant donné que ces dossiers sont définis à des emplacements spécifiques et connus, ils peuvent constituer une porte d'entrée pour des attaques malveillantes sur votre site. Les attaques par force brute sur vos chemins d'administration peuvent mettre à rude épreuve vos ressources, en limitant la capacité des visiteurs, en affectant la vitesse et en érodant la stabilité. Il s'agit d'un problème plus étroitement associé aux installations de Magento 1.x par rapport aux installations de Magento 2.x (qui nécessitent automatiquement ce protocole de sécurité). Le blocage de l'accès, la personnalisation et la sécurisation des chemins d'administration rendent l'exploitation de cette vulnérabilité beaucoup plus difficile pour les pirates.

Authentification à deux facteurs

L'authentification à deux facteurs, également connue sous le nom de 2FA, ajoute un deuxième niveau de protection pour authentifier les identifiants de connexion des utilisateurs administrateurs et constitue un composant essentiel pour la sécurité de Magento. Avec une installation standard de Magento, un utilisateur ne dispose que d'une seule méthode d'authentification qui a des limites de sécurité. L'ajout d'une authentification à deux facteurs est devenu une pratique exemplaire à l'échelle de l'industrie et est essentiel pour sécuriser votre site Web. Les plugins Magento 2FA peuvent être trouvés sur le marché Magento, y compris l'authentification à deux facteurs Magento par JetRails.

Firewall d'applications Web

L'utilisation d'un pare-feu d'application Web (WAF) tel que celui de Cloudflare vous permettra de dissuader les vulnérabilités de sécurité en bloquant le trafic malveillant avant qu'il n'atteigne réellement votre serveur. Un WAF peut filtrer, surveiller et bloquer le trafic entrant en fonction de règles spécifiques que vous configurez. Par exemple, le géoblocage vous permet de limiter l'accès des robots et/ou des humains à partir de régions mondiales spécifiques. Un autre avantage d'un WAF Cloudflare est l'intelligence collective, qui vous permet de bloquer non seulement le trafic que vous avez identifié comme malveillant, mais tout trafic jugé malveillant par l'ensemble de la communauté Cloudflare. De plus, un WAF peut offrir une certaine protection contre les correctifs Magento non appliqués. Cependant, il est très important de toujours avoir les derniers correctifs de sécurité Magento installés plutôt que de compter exclusivement sur un pare-feu (même très sophistiqué).

Mise à jour des correctifs Magento

Le logiciel open source de Magento offre aux communautés de commerce électronique une flexibilité considérable pour personnaliser leurs sites et répondre aux besoins de leurs clients. Cependant, la responsabilité de suivre les protocoles de sécurité, de mettre à jour les correctifs de sécurité et de dissuader les vulnérabilités nécessite une action de la part des propriétaires de la vitrine et de l'équipe de développement.

Lorsqu'une faille de sécurité est découverte, les développeurs de Magento apportent des modifications mineures à une ligne de code spécifique. Ce tweak dans le code est envoyé par Magento en tant que correctif de sécurité à installer soi-même. Les pirates sont également conscients de ces vulnérabilités, ce qui signifie que les correctifs de sécurité doivent être installés dès leur publication. Une excellente ressource à utiliser est MageReport, qui vérifiera votre site pour déterminer si des installations de correctifs Magento sont nécessaires. Les mises à jour de sécurité des correctifs peuvent également être trouvées dans le centre de sécurité Magento. Vos partenaires technologiques doivent vous alerter dès que des correctifs sont disponibles.

Plugins tiers

Les plugins tiers pour Magento peuvent créer des options infinies pour améliorer votre vitrine et l'expérience client. Cependant, l'ajout de fonctionnalités peut également entraîner des vulnérabilités inattendues. Pour s'assurer que la sécurité est maintenue après l'installation de plugins tiers, votre développeur devra vérifier manuellement tous les fournisseurs et applications pour les mises à jour. Les plugins tiers doivent être soigneusement surveillés et corrigés à mesure que des vulnérabilités sont exposées. Le marché Magento est devenu beaucoup plus strict dans la vérification des plugins pour Magento 2, mais le même principe s'applique à la fois pour Magento 1 et Magento 2.

Versions du système d'exploitation/PHP

Tout comme votre installation Magento, le système d'exploitation de votre serveur doit être mis à jour avec les derniers correctifs de noyau et de sécurité. Ne pas le faire peut entraîner des failles de sécurité majeures telles que les vulnérabilités Meltdown et Spectre exposées au début de 2018, qui ont permis à un code malveillant de lire la mémoire du noyau.

C'est également vrai pour PHP, qui lit et exécute le code source de Magento. Chaque nouvelle itération de PHP sécurise les vulnérabilités qui ont été exposées dans les versions suivantes. De plus, les anciennes versions de PHP ne réussiront pas les analyses de conformité PCI.

Il est extrêmement important de travailler avec un fournisseur de services gérés qui sera responsable de la maintenance de l'ensemble de la pile logicielle, y compris le noyau et les services associés.

Conformité PCI

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) s'applique aux entreprises de toute taille qui acceptent les paiements par carte de crédit. Étant donné que la plupart des vitrines Magento traitent des comptes clients, il est prudent de respecter les normes de conformité PCI. Si votre entreprise a l'intention d'accepter les paiements par carte et de traiter les données des titulaires de carte client, vous devez également héberger vos données en toute sécurité auprès d'un fournisseur d'hébergement conforme à la norme PCI. L'exécution d'une analyse PCI par l'intermédiaire d'un fournisseur agréé tel que Trustwave peut révéler des problèmes de sécurité susceptibles d'entraver votre capacité à obtenir la conformité PCI.

Accès au moindre privilège

Une autre considération de conception importante pour sécuriser votre site Web Magento contre les comportements malveillants est le concept d'accès à moindre privilège. Ce principe exige que les utilisateurs n'aient accès qu'au sous-ensemble minimal de fonctions nécessaires à l'exécution d'une tâche spécifique. Par exemple, les employés du service d'expédition ne doivent avoir accès qu'à la fonctionnalité d'expédition ; de même, les personnes chargées de la facturation ne devraient avoir que la possibilité d'avoir un impact sur la facturation. En utilisant une combinaison d'autorisations en lecture seule et en séparant les départements, la sécurité de vos données clients sensibles sera renforcée.

Sécurité d'accès

Les mots de passe doivent être changés régulièrement et ne doivent pas être partagés. La pratique de bons protocoles de mot de passe est essentielle à la sécurité. N'envoyez pas de mots de passe dans des e-mails en texte clair, des SMS, des messages instantanés, des tickets d'assistance ou par toute autre méthode non cryptée. Pour l'accès au système, il n'est généralement pas judicieux d'autoriser l'authentification par mot de passe pour les utilisateurs shell ou SFTP. Dans la mesure du possible, utilisez des clés SSH au lieu de mots de passe.

Une excellente ressource pour stocker les mots de passe en toute sécurité est LastPass, un système de gestion gratuit qui fonctionne sur tous les navigateurs et appareils mobiles. Il peut également générer des mots de passe sécurisés et offre les normes de cryptage les plus solides actuellement disponibles.

Protégez votre environnement de développement

Il est très important de limiter tout accès à votre environnement de développement à toute personne autre que vos développeurs. N'oubliez pas que votre environnement de développement est un miroir de votre site de production (en direct) avec des informations tout aussi précieuses. Souvent, les développeurs réutilisent les mots de passe et les clés SSH dans le développement et la production, il est donc crucial de maintenir les mêmes protocoles de sécurité stricts dans les deux environnements.

Entourez-vous d'une super équipe

Chacune de ces étapes fournit une couche de protection différente et peut être intégrée à une stratégie de sécurité pour vous aider à atténuer les risques et à éliminer les menaces pour votre vitrine Magento. Travailler avec une bonne société d'hébergement et une équipe de développement solide est fondamental pour réaliser un plan de sécurité solide. En fin de compte, la sécurisation de votre site e-commerce consiste à protéger vos actifs, vos clients et votre réputation.

À propos de l'auteur : Davida Wexler, directrice du marketing pour JetRails

Davida Wexler est directrice du marketing pour JetRails, un fournisseur d'hébergement Magento proposant des configurations personnalisées sur des serveurs dédiés et dans le cloud AWS. Avec des bureaux à Chicago, JetRails se concentre sur la sécurité, l'accélération et la performance des plateformes de commerce électronique. L'entreprise se passionne pour aider ses clients à se développer et à assurer le succès de Magento. En fin de compte, ils pensent que le commerce électronique concerne les personnes et non les serveurs. *Davida n'est pas un employé de nChannel. Elle est blogueuse invitée.