Si le maintien de la sécurité de votre boutique de commerce électronique vous permet de préserver votre réputation et d’éviter les temps d’arrêt, vous êtes tenu de respecter les normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) afin de pouvoir traiter les données des cartes de crédit des clients. Bien que cette liste ne soit pas exhaustive, elle peut vous aider à vous protéger contre les types d’attaques et de vulnérabilités les plus courants.

Adopter et maintenir une politique de mot de passe fort

Une politique de mot de passe définit les exigences en matière de mot de passe. Les meilleures pratiques pour une politique de mot de passe comprennent :

  • N’utilisez que des mots de passe uniques.
  • Établir des exigences de complexité.
  • Changez régulièrement de mot de passe.
  • Ne pas réutiliser les mots de passe.

Pour obtenir de l’aide dans la création d’un mot de passe sécurisé, utilisez notre . Si vous avez besoin d’instructions pour l’utiliser, reportez-vous à .

Configurer un chemin d’accès personnalisé pour le panneau de l’administrateur

Si quelqu’un peut facilement localiser la page de connexion de votre administrateur, vous êtes plus vulnérable aux attaques par force brute. De nombreuses attaques par force brute, mais pas toutes, utilisent des scripts spécifiquement conçus pour vérifier le chemin d’accès /admin de votre page de connexion. Par conséquent, masquer le chemin d’accès au panneau de l’administrateur de Magento peut aider à prévenir les intrusions. Bien que votre magasin ne soit pas immunisé contre les attaques par force brute, cela détournera les attaques qui s’appuient sur ces scripts.

Déployer les changements de manière responsable

S’ils sont déployés sans précaution, les extensions et les thèmes peuvent permettre aux pirates d’accéder aux zones les plus critiques de votre boutique ou tout simplement casser votre site. Pour minimiser ces risques, respectez les consignes suivantes :

  • N’obtenez des extensions qu’à partir de sources officielles et légitimes, telles que Magento Connect.
  • Faites appel à un développeur pour auditer le code de ces extensions et thèmes.
  • Testez les nouvelles applications dans un environnement de développement avant de les déployer dans votre boutique en ligne.
  • Avant la mise en ligne, créez des sauvegardes des fichiers de votre site et de vos bases de données afin de vous prémunir contre la corruption des données ou les failles de sécurité.

Gérer les points d’accès

Il existe de nombreuses méthodes pour accéder aux fichiers et à la base de données de votre site. En fonction de votre tâche, vous pouvez accéder à votre site via SSH, FTP ou SiteWorx. Utilisez un mot de passe unique et fort pour chaque méthode et utilisez des méthodes de connexion telles que SSH, SFTP ou SCP pour plus de sécurité.

Restreindre l’accès de l’administrateur

En plus de l’authentification à deux facteurs, vous pouvez restreindre la page de connexion de l’administrateur de Magento à une adresse IP spécifique en configurant des règles dans le fichier .htaccess de votre site.

En outre, chaque administrateur doit utiliser un compte administrateur unique. Il s’agit non seulement d’une exigence de la norme PCI DSS, mais aussi d’une facilité de gestion et de contrôle d’accès.

Sécurisez votre fichier local.xml et d’autres fichiers sensibles

Le fichier local.xml contient les informations les plus importantes de votre base de données, notamment votre nom d’utilisateur, votre mot de passe et les préfixes des tables. En outre, des attaquants pourraient modifier le code dictant vos méthodes de mise en cache, ce qui entraînerait des temps d’arrêt pour votre boutique. En guise de prévention, limitez les permissions de ce fichier à 600, ou -rw??-. Ces permissions limitent l’accès en lecture et en écriture à votre seul utilisateur.

Pour plus de sécurité, limitez également les autorisations sur tous les autres fichiers contenant des informations sensibles, telles que les identifiants de connexion.

Utiliser des connexions cryptées (SSL/HTTPS)

Les données envoyées via des connexions non cryptées sont exceptionnellement vulnérables à l’interception par des tiers. Un certificat SSL correctement mis en place permet de sécuriser les informations sensibles telles que les données de cartes de crédit, les coordonnées des clients et les identifiants de connexion, entre autres. Vous pouvez acheter un certificat SSL auprès d’une autorité de certification vérifiée et l’installer via SiteWorx. Une fois que vous avez le certificat SSL, configurez votre installation Magento pour exiger des ressources sécurisées sur certaines pages, forçant ainsi les pages à être chargées via HTTPS.

Utiliser l’authentification à deux facteurs

Ne vous fiez pas uniquement aux mots de passe. L’authentification à deux facteurs est la nouvelle norme en matière de sécurité et permet d’atténuer la plupart des risques de sécurité liés aux mots de passe dans Magento. Bien que vous puissiez trouver de nombreuses options, .