Comment sécuriser votre site Web Magento devrait être votre principale préoccupation lors de la création d'une boutique de commerce électronique à l'aide de Magento. Il existe de puissantes fonctionnalités de sécurité intégrées dans Magento, mais vous devez faire quelque chose pour protéger votre site contre les attaques ou la perte de données.
Bien qu’il s’agisse d’une puissante plateforme de commerce électronique avec plus de 250 000 sites actifs, elle présente également certains risques en matière de sécurité. 87 % des magasins de commerce électronique basés sur Magento sont exposés à un risque plus élevé de cyberattaques, selon un récent rapport de sécurité TechRadar.
Il est possible que votre magasin en fasse partie.
Qu'est-ce que la sécurité Magento
L'une des plateformes de commerce électronique les plus populaires, Magento dispose de fonctionnalités de sécurité intégrées qui réduisent les risques de sécurité tels que les fuites de données, le vol d'informations et les transactions illégales. Assurez-vous d'avoir appliqué toutes les pratiques de sécurité modernes de Magento, y compris les thèmes, extensions et hébergements fiables.
Cela montre clairement que Magento est le premier choix pour quiconque envisage de créer une boutique de commerce électronique en 2020, quelle que soit sa taille ou son historique. Magento, cependant, offre d'excellentes pratiques de sécurité dès le départ à la plupart des commerçants en ligne.
Liste de contrôle de sécurité Magento : comment sécuriser votre boutique Magento en 2023 ?
Vous pouvez éviter (et dans une certaine mesure, résoudre) les problèmes de sécurité de Magento en suivant la liste de contrôle ci-dessous. Voici quelques conseils de sécurité Magento pour vous aider à conserver votre boutique de commerce électronique sécurisé:
La dernière version de Magento doit être utilisée
Il arrive parfois qu’on vous dise que la version la plus récente de Magento n’est pas la meilleure. La raison en est que la plupart des gens pensent que la dernière version de Magento n'est pas suffisamment sécurisée. Bien que cela soit vrai, les développeurs corrigent généralement les problèmes de correctifs de sécurité précédents de Magento dans les nouvelles versions. Par conséquent, il est essentiel de rester à jour avec les correctifs Magento les plus récents. Après la publication d’une version stable, vous devez effectuer des tests Magento avant de l’implémenter.
Utiliser l'authentification à deux facteurs (2FA)
La plate-forme Magento 2 prend en charge l'authentification à deux facteurs (2FA), qui ajoute une couche de furtivité ou de mouvement subreptice. Quatre types différents d'authentificateurs sont utilisés pour permettre aux appareils de confiance d'accéder au backend de Magento 2.
En utilisant le code de sécurité de votre smartphone et le mot de passe de votre connexion administrateur Magento, l'extension Magento Two Factor Authentication améliore la sécurité de votre connexion administrateur Magento. Pour accéder au panneau d'administration de Magento 2, autorisez uniquement les utilisateurs autorisés à accéder au code.
Vous n'avez plus à vous soucier des risques de sécurité Magento liés aux mots de passe avec certaines extensions Magento prenant en charge l'authentification à deux facteurs (2FA).
Personnaliser le chemin du panneau d'administration
Le panneau d'administration Magento est accessible sur my-site.com/admin. Les pirates peuvent facilement accéder à votre page de connexion d'administrateur Magento et mener des attaques par force brute.
Vous pouvez empêcher cela en utilisant /admin avec un terme personnalisé (par exemple, « Store Door »). Si des pirates informatiques parviennent à mettre la main sur votre mot de passe, ils ne peuvent également pas accéder à votre page de connexion administrateur Magento. En modifiant le fichier local.xml dans Magento 1 et le fichier env.php dans Magento 2, vous pouvez modifier votre chemin d'administration Magento.
Acquérir une connexion cryptée (SSL/HTTPS)
Les données envoyées via une connexion non cryptée, comme vos informations de connexion, risquent d'être interceptées. Les assaillants pourront peut-être consulter vos informations d’identification grâce à cette interception. Les connexions Magento doivent être sécurisées afin d'éviter ces problèmes.
Magento vous permet d'obtenir une URL HTTPS/SSL sécurisée en cochant l'onglet « Utiliser les URL sécurisées » dans le menu de configuration du système. De plus, il s’agit d’un élément essentiel pour rendre votre site Web Magento conforme à la norme de sécurité des données PCI.
Let's Encrypt est un bon point de départ si vous souhaitez un Certificat SSL. De plus, cela vous aidera à devenir conforme à la norme PCI.
Utiliser FTP sécurisé
Deviner ou intercepter facilement les mots de passe FTP est l’un des moyens les plus courants de pirater un site Web.
SFTP (Secured File Transfer Protocol) utilise un fichier de clé privée pour décrypter et authentifier les utilisateurs, afin que vous puissiez éviter que cela ne vous arrive. Sur Carmatec, l'accès SFTP est déjà disponible.
Avoir un plan de sauvegarde actif
Prendre des précautions pour la sécurité de Magento est une excellente pratique, mais un plan de sauvegarde est tout aussi vital. Les sauvegardes hors site doivent être effectuées toutes les heures et des sauvegardes téléchargeables doivent également être effectuées. Le plan de sauvegarde garantira que vous ne subirez aucune interruption de service si votre site Web est piraté ou tombe en panne pour quelque raison que ce soit.
Les fichiers de sauvegarde de votre site Web peuvent être stockés hors site ou sauvegardés via un service de sauvegarde en ligne pour éviter la perte de données. La perte de données est minime grâce à la sauvegarde des données.
Vous devriez toujours demander à votre fournisseur d'hébergement s'il a une stratégie de sauvegarde. Nos sauvegardes sont opportunes et suffisantes à Carmatec.
L'indexation des répertoires doit être désactivée
Vous pouvez améliorer la sécurité de votre boutique Magento en désactivant l'indexation des répertoires. En désactivant l'indexation des répertoires, vous pourrez masquer différents chemins par lesquels les fichiers de votre domaine sont stockés.
Vous pouvez l'utiliser pour empêcher les cybercriminels d'accéder aux fichiers principaux de votre site Web alimenté par Magento. Ils peuvent toujours vous accéder s'ils connaissent le chemin complet de vos données.
Vous devez être prudent avec votre mot de passe Magento
Vous avez besoin d'un mot de passe pour accéder à votre boutique Magento. C’est pour cette raison que vous devez être très prudent lors du choix d’un mot de passe. Créez un mot de passe contenant des alphabets majuscules et minuscules, des chiffres et des caractères spéciaux tels que ?, >, etc. (De plus, vous pouvez utiliser un service de gestion de mots de passe si vous avez du mal à vous souvenir de mots de passe complexes.)
De plus, n’utilisez jamais vos mots de passe Magento pour vous connecter à un autre site Web. Pour rendre plus difficile la recherche de votre mot de passe par les pirates informatiques, conservez votre mot de passe Magento séparé de vos autres applications.
Combler les failles du courrier électronique
Avec Magento, les utilisateurs peuvent récupérer leurs mots de passe via une adresse email préconfigurée. Dans le cas où votre identifiant de messagerie est piraté, l'ensemble de votre boutique Magento devient vulnérable. Magento nécessite une authentification à deux facteurs pour votre adresse e-mail et ne doit pas être connue publiquement.
Hébergez votre site Web avec un bon plan
Pour toute entreprise de commerce électronique, l’hébergement partagé n’est pas une bonne option.
L'hébergement partagé est généralement une bonne option pour les startups Magento, mais investir dans l'hébergement partagé compromet la sécurité de votre boutique Magento.
Vous pouvez également envisager un hébergement dédié, mais cela pourrait ne pas suffire à vos besoins puisque vous serez limité à un seul serveur. Lorsque le trafic de votre boutique Magento augmente soudainement, le site Web plante en raison d'un manque de ressources.
Vous devriez plutôt choisir un fournisseur d’hébergement cloud géré qui offre une sécurité robuste et des correctifs de serveur fréquents.
Les plans d'hébergement à la douzaine promettent des fonctionnalités qu'ils ne peuvent pas offrir (du moins pas à bas prix). Vous devriez rester à l’écart de tels plans, car ils ne connaissent rien à la sécurité de Magento.
Empêcher l'injection MySQL
Les versions et correctifs les plus récents de Magento offrent une excellente protection contre les attaques par injection MySQL, mais s'appuyer uniquement sur eux n'est pas toujours optimal. Afin de protéger votre site Web et vos clients, nous vous recommandons d'ajouter un pare-feu d'application Web, tel que NAXSI. Il est également possible d'appliquer des correctifs de sécurité fournis par les développeurs officiels de Magento 2.
Obtenez un examen de sécurité Magento
Il n’est pas nécessaire que les développeurs Magento soient des experts en sécurité.
De nombreuses personnes sont douées pour le codage, mais seules quelques-unes savent comment sécuriser les sites Magento. Pour cette raison, vous devriez faire analyser votre site Web une (ou peut-être deux) par an pour détecter les failles de sécurité.
L'analyse de sécurité de Magento 2 comprend la vérification du site, des plugins et des extensions qui y sont installés. En cas de failles de sécurité, de bugs ou de failles, les correctifs de sécurité Magento 2 doivent être obtenus auprès d'une entreprise de sécurité fiable. Il est possible que ces examens contribuent à renforcer davantage la sécurité de votre boutique Magento s'ils sont effectués correctement.
Entrez en contact avec la communauté Magento
Si vous avez besoin d'aide, la communauté technique de Magento est toujours là pour vous aider. Si vous souhaitez publier une requête concernant des problèmes de sécurité liés à Magento ou à ses fonctionnalités, vous pouvez la rechercher et la publier. Différentes versions de Magento sont également publiées par les membres de la communauté Magento, alors gardez également un œil sur celles-ci.
Ajouter une clé de sécurité au panneau d'administration de Magento
La plateforme de commerce électronique Magento 2 vous permet d'ajouter facilement une clé secrète aux URL. De plus, la clé empêche les oreilles indiscrètes/pirates d’accéder au panneau d’administration.
Le temps d'inactivité du clavier peut également être ajouté comme mesure pour améliorer la sécurité de Magento 2. En faisant cela, la session expirera et l'administrateur pourra à nouveau accéder au panneau d'administration.
Conclusion
Nous vivons dans un monde en constante évolution en matière de sécurité. Rien ne garantit que Magento sera totalement sécurisé. Cependant, si ces étapes étaient suivies, les pirates informatiques ou les violations seraient considérablement moins susceptibles de se produire. Entrer en contact avec notre équipe d'assistance experte Magento si vous avez des questions concernant cet article. Embauchez des développeurs Magento en Inde pour Services de développement Magento.
French 
English 
Spanish 
Italian 
German 
Japanese 