No products in the cart.

Type To Search

CONTACTEZ NOUS
TÃĐlÃĐphone

+212602415370

CONTACTEZ NOUS

Type To Search

Magento2
Home Archive by Category "Magento2"

Category: Magento2

07 NovMagento2

Cosmicsting : Cyberattaque sur Adobe Commerce et Magento

by hicelh0 Comments

Introduction :

 

Dans le domaine de la cybersÃĐcuritÃĐ en pleine mutation, une nouvelle menace sÃĐrieuse s’attaque aux boutiques Adobe Commerce. AppelÃĐe ÂŦ CosmicSting Âŧ, cette attaque sophistiquÃĐe prÃĐsente un danger considÃĐrable et pourrait toucher jusqu’à 75 % des boutiques Adobe Commerce. CosmicSting tire parti d’une faille critique dans les plateformes Adobe Commerce et Magento, permettant aux cybercriminels de lire des donnÃĐes  sensibles comme les mots de passe et d’injecter du code malveillant pour compromettre la sÃĐcuritÃĐ des donnÃĐes des clients. Ce blog vous propose de dÃĐcouvrir en dÃĐtail le fonctionnement de CosmicSting ainsi que les actions à mettre en place pour protÃĐger efficacement votre commerce.

CosmicSting (CVE-2024-34102) : Une cybermenace exploitant les failles critiques d’Adobe Commerce et Magento.

CVE-2024-34102 est une faille de sÃĐcuritÃĐ sÃĐvÃĻre rÃĐsultant d’une mauvaise gestion de la dÃĐsÃĐrialisation imbriquÃĐe dans Adobe Commerce et Magento. Cette vulnÃĐrabilitÃĐ permet aux attaquants d’exploiter les entitÃĐs externes XML (XXE) pendant le processus de dÃĐsÃĐrialisation, ce qui peut potentiellement conduire à l’exÃĐcution de code à distance. En rÃĐsumÃĐ, les attaquants peuvent crÃĐer des charges JSON malveillantes qui, lorsqu’elles sont dÃĐsÃĐrialisÃĐes par l’application, instancient des objets avec des propriÃĐtÃĐs ou des comportements inattendus, entraÃŪnant divers risques de sÃĐcuritÃĐ.

L’exploitation de cette vulnÃĐrabilitÃĐ permet aux attaquants d’obtenir un accÃĻs administratif non autorisÃĐ aux API REST, GraphQL ou SOAP, ce qui peut conduire à un vol de donnÃĐes, des perturbations de service et une compromission complÃĻte des systÃĻmes affectÃĐs. Cette vulnÃĐrabilitÃĐ pose un risque significatif en raison de sa capacitÃĐ Ã  exfiltrer des fichiers sensibles, tels que app/etc/env.php, contenant des clÃĐs cryptographiques utilisÃĐes pour l’authentification. Les attaquants peuvent exploiter cette faille pour forger des jetons administratifs et manipuler les API de Magento en tant qu’utilisateurs privilÃĐgiÃĐs.

 

De plus, la CVE-2024-34102 peut Être associÃĐe à d’autres vulnÃĐrabilitÃĐs, telles que l’exploitation des chaÃŪnes de filtres PHP (CVE-2024-2961), entraÃŪnant l’exÃĐcution de code à distance (RCE). Les implications plus larges des vulnÃĐrabilitÃĐs d’entitÃĐ externe XML (XXE) permettent aux attaquants de rÃĐcupÃĐrer et de manipuler des donnÃĐes provenant de sources externes, exacerbant ainsi l’impact potentiel sur les systÃĻmes compromis.

Impact

L’impact de la CVE-2024-34102 (CosmicSting) sur Adobe Commerce et Magento est sÃĐvÃĻre, affectant plus de 140 000 instances de Magento à l’ÃĐchelle mondiale fin 2023. De plus, selon Sansec, la vulnÃĐrabilitÃĐ pourrait toucher environ 75 % des boutiques Adobe Commerce.

Versions affectÃĐes

Plateformes :

  • Toutes les plateformes sont affectÃĐes pour Adobe Commerce et Magento Open Source.

  • Installation manuelle du plugin Webhooks pour Adobe Commerce.

  • Versions :

  • Adobe Commerce : versions antÃĐrieures à : 2.4.7 ; 2.4.6-p5 ; 2.4.5-p7 ; 2.4.4-p8 ; 2.4.3-ext-7 ; 2.4.2-ext-7

  • Magento Open Source : versions antÃĐrieures à : 2.4.7 ; 2.4.6-p5 ; 2.4.5-p7 ; 2.4.4-p8

  • Plugin Webhooks d’Adobe Commerce : versions de 1.2.0 à 1.4.0

Chronologie

DÃĐcembre 2023

  • 20 dÃĐcembre 2023 : Le rapport de vulnÃĐrabilitÃĐ est soumis à HackerOne par Sergey Temnikov.

Janvier 2024

  • 8 janvier 2024 : HackerOne soumet le rapport à Adobe.

Juin 2024

  • 11 juin : Avis d’Adobe concernant Adobe Commerce/Magento au sujet d’une vulnÃĐrabilitÃĐ sÃĐvÃĻre d’injection d’entitÃĐ XML prÃĐ-authentification (CVE-2024-34102), ÃĐvaluÃĐe par Adobe avec un score CVSS de 9.8. La CVE-2024-34102 est donc publiÃĐe.

  • 18 juin : Sansec note que 75 % des magasins n’ont toujours pas appliquÃĐ de correctifs et met en garde contre une exploitation massive de CosmicSting.

  • 23 juin : Sergey Temnikov (spacewasp), le dÃĐcouvreur du problÃĻme, alerte sur la gravitÃĐ de CosmicSting. Il souligne que des tiers peuvent obtenir un accÃĻs administrateur à l’API sans avoir besoin d’une version Linux vulnÃĐrable (liÃĐe au problÃĻme iconv). Il recommande un correctif d’urgence amÃĐliorÃĐ.

  • 23 juin : Sansec dÃĐcouvre les premiÃĻres attaques CosmicSting en cours (provenant de l’adresse IP 185.175.225.116).

  • 26 juin : Une analyse approfondie est publiÃĐe par AssetNote.

  • 26 juin : AssetNote publie des dÃĐtails sur les attaques et les premiers kits d’exploitation apparaissent sur GitHub.

  • 26 juin : Adobe augmente la note de sÃĐvÃĐritÃĐ de 3 à 2.

  • 27 juin : Adobe publie un correctif autonome officiel pour CosmicSting qui peut Être appliquÃĐ aux installations sans nÃĐcessiter une mise à niveau complÃĻte.

  • 27 juin : Hypernode rapporte avoir observÃĐ les premiÃĻres instances de scans et d’abus effectif de CosmicSting dans la nature. Ils incitent toutes les parties concernÃĐes à patcher immÃĐdiatement leurs systÃĻmes.

Juillet 2024

  • 8 juillet : Adobe augmente la note de sÃĐvÃĐritÃĐ de 2 à 1 (critique).

  • 12 juillet : Sansec observe des hacks massifs de magasins Adobe Commerce de haut profil. Des marques connues figurent parmi les victimes.

AoÃŧt 2024

  • 21 aoÃŧt : Adobe publie le correctif AC-12485 pour invalider les anciennes clÃĐs de cryptage. Cela est vital, car sinon, les attaquants continueront à modifier vos blocs CMS.

  • 27 aoÃŧt : Les attaquants combinent CosmicSting avec le bug CNEXT, leur permettant d’exÃĐcuter du code sur votre serveur (ÃĐgalement connu sous le nom d’exÃĐcution de code à distance). Il s’agit d’une escalade sÃĐrieuse, car les attaquants peuvent dÃĐsormais installer des portes dÃĐrobÃĐes pour dissimuler leur prÃĐsence et rester persistants sur vos serveurs.

Septembre 2024

  • 4 septembre : Le magasin Cisco est piratÃĐ Ã  l’aide de l’attaque CosmicSting.

Octobre 2024

  • 14 octobre : Le groupe Peschanki compromet plus de 2000 magasins en quelques heures, lors du plus grand piratage automatisÃĐ Ã  ce jour.

  • 21 octobre : Une nouvelle campagne de grande envergure est lancÃĐe par le groupe Laski, infectant plus de 1200 magasins.

Mesures Critiques pour SÃĐcuriser votre Installation Adobe Commerce

Pour protÃĐger votre systÃĻme contre les attaques potentielles, suivez ces ÃĐtapes essentielles :

ProtÃĐger votre ClÃĐ de Chiffrement

  • Mise à jour : Installez la derniÃĻre version d’Adobe Commerce pour empÊcher les attaquants de voler votre clÃĐ cryptographique (clÃĐ de chiffrement).

  • Rotation de ClÃĐ : ConsidÃĐrez que votre clÃĐ actuelle a dÃĐjà ÃĐtÃĐ compromise. GÃĐnÃĐrez une nouvelle clÃĐ et invalidez l’ancienne pour empÊcher tout usage abusif.

Recommandation : Mettre à jour vers la derniÃĻre version d’Adobe Commerce est la solution la plus efficace. Cependant, notez que cette mise à jour inclut des changements fonctionnels, comme l’application stricte d’une politique de sÃĐcuritÃĐ de contenu (CSP), ce qui pourrait affecter vos processus de commande.

Solution Alternative : Patch IsolÃĐ

  • Si la mise à jour n’est pas possible, appliquez le patch isolÃĐ fourni par Adobe pour rÃĐduire les vulnÃĐrabilitÃĐs.

Rotation de la ClÃĐ aprÃĻs la Mise à jour

  • AprÃĻs la mise à jour, effectuez une rotation de vos clÃĐs de chiffrement comme indiquÃĐ par Adobe. Notez que les donnÃĐes chiffrÃĐes avec l’ancienne clÃĐ ne sont pas automatiquement rechiffrÃĐes avec la nouvelle. Pour automatiser ce processus, utilisez le module de rotation de clÃĐ fourni par Luke Rodgers chez GENE Commerce — fortement recommandÃĐ.

  • Consultez ÃĐgalement votre documentation sur la rotation des clÃĐs pour des instructions spÃĐcifiques sur la maniÃĻre de mettre en œuvre cette rotation dans votre systÃĻme actuel. Cette ÃĐtape est cruciale pour assurer la sÃĐcuritÃĐ et minimiser les risques liÃĐs à une clÃĐ compromise.

Solution d'Urgence (à Court Terme)

Si des actions immÃĐdiates sont nÃĐcessaires, vous pouvez temporairement bloquer l’accÃĻs à l’API CMS Block :

Bloquer les RequÊtes à l’API CMS Block

Ajoutez le code suivant en haut de  app/bootstrap.php pour empÊcher l’accÃĻs à l’API :

if (preg_match(‘/\/rest\/.*\/cmsBlock/m’, $_SERVER[‘REQUEST_URI’])) {
    http_response_code(503);
    echo “Service Unavailable”;
    exit();
}

Attention : Cette mesure est provisoire et ne garantit pas une sÃĐcuritÃĐ totale pour votre systÃĻme. Les attaquants peuvent toujours :

  • AccÃĐder à d’autres fichiers sur votre serveur, et ainsi continuer d’obtenir vos nouvelles clÃĐs de chiffrement.

  • Exploiter d’autres points de terminaison REST pour extraire des donnÃĐes clients sensibles (par exemple, via l’endpoint des commandes).

  • Effectuer une exÃĐcution de code à distance en combinant cette vulnÃĐrabilitÃĐ avec d’autres failles.

Read More
07 NovMagento2

CosmicSting stratÃĐgies et dÃĐfenses

by hicelh0 Comments

Introduction

La montÃĐe en puissance des cybermenaces, comme l’attaque CosmicSting, souligne l’importance d’une gestion proactive de la sÃĐcuritÃĐ des systÃĻmes. Cette vulnÃĐrabilitÃĐ, qui cible principalement les boutiques Adobe Commerce et Magento, expose les donnÃĐes sensibles à des risques considÃĐrables. 

Pour contrer ces menaces, il est crucial d’adopter des mesures prÃĐventives, notamment la rotation rÃĐguliÃĻre des clÃĐs de chiffrement. Dans cet article, nous examinerons l’importance de cette pratique et vous fournirons des conseils sur la maniÃĻre de l’appliquer efficacement dans votre environnement. En vous engageant dans des stratÃĐgies de dÃĐfense robustes, vous pourrez mieux protÃĐger vos ressources et renforcer la rÃĐsilience de votre infrastructure face aux menaces ÃĐmergentes.

1.Mise à Jour Essentielle : Appliquer le Dernier Patch Adobe

Il est impÃĐratif de mettre à jour votre systÃĻme vers la derniÃĻre version du correctif fournie par Adobe  avant d’effectuer la rotation des clÃĐs. Cette ÃĐtape garantit que toutes les vulnÃĐrabilitÃĐs connues sont corrigÃĐes, offrant ainsi une base sÃĐcurisÃĐe pour la gestion de vos clÃĐs cryptographiques. Ne nÃĐgligez pas cette mise à jour cruciale, car elle joue un rÃīle essentiel dans la protection de vos donnÃĐes sensibles contre les menaces potentielles..

1.Pourquoi la Rotation de la ClÃĐ est Essentielle

MÊme si votre boutique est sÃĐcurisÃĐe, il existe toujours un risque qu’un jeton JWT (JSON Web Token) ait ÃĐtÃĐ ÃĐmis et demeure valide. Pour cette raison, il est fortement recommandÃĐ aux marchands de procÃĐder à une rotation de la clÃĐ de chiffrement pour renforcer la sÃĐcuritÃĐ. Cependant, il est important de noter que le processus de rotation de clÃĐ de Magento ne dÃĐsactive pas automatiquement l’ancienne clÃĐ, ce qui peut prÃĐsenter des vulnÃĐrabilitÃĐs rÃĐsiduelles. Le module gene encryption module peut simplifier cette procÃĐdure en invalidant efficacement les anciennes clÃĐs tout en rÃĐgÃĐnÃĐrant les valeurs chiffrÃĐes avec la nouvelle clÃĐ. Cela garantit une sÃĐcuritÃĐ complÃĻte pour votre boutique en ligne et protÃĻge les donnÃĐes sensibles des clients.

 

Voici les ÃĐtapes gÃĐnÃĐrales à suivre pour prÃĐvenir les attaques liÃĐes à CosmicSting. Lisez attentivement chaque ÃĐtape pour comprendre les fonctionnalitÃĐs de ce module ainsi que les points de vulnÃĐrabilitÃĐ potentiels.

1. Identification des Tables Utilisant la ClÃĐ de Chiffrement :

Commencez par effectuer une sauvegarde complÃĻte de la base de donnÃĐes, que nous utiliserons pour dÃĐterminer quelles tables contiennent des valeurs chiffrÃĐes. Si une sauvegarde de production n’est pas rÃĐalisable, vous pouvez recourir aux environnements de staging ou de QA. Une fois la sauvegarde effectuÃĐe, utilisez la commande suivante pour extraire les donnÃĐes :

 

mysqldump –databases nom_de_la_base > chemin/vers/backup.sql

 

Une fois la sauvegarde effectuÃĐe, vous pourrez repÃĐrer les tables contenant des valeurs chiffrÃĐes. Pour ce faire, utilisez grep pour rechercher les tables en analysant le fichier de sauvegarde :

 

grep -P “VALUES\s*\(.*\d:\d:…*'” chemin/vers/backup.sql | awk ‘{print $3}’ | sort | uniq -c

 

Cela vous fournira une liste des tables contenant des valeurs chiffrÃĐes, lesquelles devront Être rÃĐgÃĐnÃĐrÃĐes avec la nouvelle clÃĐ .

 

2.Installation De Module gene encryption:

installez le module Gene Encryption Key Manager disponible sur GitHub. Ce module offre des fonctionnalitÃĐs avancÃĐes pour gÃĐrer efficacement les clÃĐs de chiffrement.

Lien vers le module : Gene Encryption Key Manager sur GitHub 

 

composer require gene/module-encryption-key-manager
bin/magento setup:upgrade

3.GÃĐnÃĐrer une nouvelle clÃĐ et empÊcher l'utilisation des anciennes pour les JWT

C’est la prioritÃĐ absolue pour chaque marchand ! Installez ce module et gÃĐnÃĐrez une nouvelle clÃĐ en utilisant la commande suivante :

 

php bin/magento gene:encryption-key-manager:generate [–key=MA_NOUVELLE_CLE_DE_32_CARACTERES] [–skip-saved-credit-cards]  —force

 

Cette action forcera  le JWT factory  à utiliser la nouvelle clÃĐ. D’autres parties de l’application peuvent encore recourir aux anciennes clÃĐs, mais cette ÃĐtape est essentielle pour contrer les attaques de CosmicSting.

Utilisez l’option –key pour dÃĐfinir manuellement la nouvelle clÃĐ Ã  utiliser lors de la rÃĐinitialisation du chiffrement. Si aucune clÃĐ personnalisÃĐe n’est fournie, une nouvelle clÃĐ sera automatiquement gÃĐnÃĐrÃĐe.

 

L’option  –skip-saved-credit-cards permet de ne pas rÃĐ-encrypter les donnÃĐes de cc_number_enc dans la table sales_order_payment. Cette table peut Être volumineuse, et de nombreuses boutiques n’y conservent aucune donnÃĐe.

4.Correction des Valeurs de Configuration Manquantes:

Ces commandes s’exÃĐcutent en mode dry run par dÃĐfaut, ce qui vous permet d’effectuer un premier passage pour visualiser les modifications qui seront apportÃĐes. Une fois que vous Êtes satisfait des rÃĐsultats, vous pouvez exÃĐcuter la commande avec l’option –force  pour appliquer les changements.

Pour rÃĐsoudre les valeurs de configuration manquantes, exÃĐcutez la commande suivante :

php bin/magento gene:encryption-key-manager:reencrypt-unhandled-core-config-data 

 

Cela rÃĐencryptera les donnÃĐes de configuration principales qui n’ont pas ÃĐtÃĐ prises en charge. Une fois que cette opÃĐration est terminÃĐe, vous pouvez relancer la commande pour vÃĐrifier que tout a ÃĐtÃĐ correctement mis à jour :

 

php bin/magento gene:encryption-key-manager:reencrypt-unhandled-core-config-data

5.Correction des DonnÃĐes 2FA

Pour corriger les donnÃĐes liÃĐes à l’authentification à deux facteurs (2FA), exÃĐcutez la commande suivante :

php bin/magento gene:encryption-key-manager:reencrypt-tfa-data

 

AprÃĻs avoir effectuÃĐ cette opÃĐration, relancez la commande pour vÃĐrifier que tout a ÃĐtÃĐ correctement mis à jour :

 

php bin/magento gene:encryption-key-manager:reencrypt-tfa-data

6.Correction des Colonnes SupplÃĐmentaires IdentifiÃĐes

Il est ÃĐgalement important de rÃĐencrypter toutes les autres colonnes identifiÃĐes  avec la cmd Grep . Assurez-vous de vÃĐrifier chaque table et colonne. Soyez vigilant, en particulier avec les colonnes entity_id, row_id  et id.

Voici la commande à exÃĐcuter pour encrypter les colonnes supplÃĐmentaires  :

php bin/magento gene:encryption-key-manager:reencrypt-column entity_name entity_id column_name 

Exemples: 

php bin/magento gene:encryption-key-manager:reencrypt-column customer_entity entity_id rp_token

 

php bin/magento gene:encryption-key-manager:reencrypt-column oauth_token entity_id secret

 

php bin/magento gene:encryption-key-manager:reencrypt-column oauth_consumer entity_id secret

 

AprÃĻs chaque commande, assurez-vous de vÃĐrifier que les valeurs ont ÃĐtÃĐ correctement mises à jour dans la base de donnÃĐes. 

7.Vider le Cache

Pour vider le cache de votre installation Magento, exÃĐcutez la commande suivante :

php bin/magento cache:flush

 

À ce stade, toutes vos donnÃĐes devraient avoir ÃĐtÃĐ migrÃĐes vers votre nouvelle clÃĐ de chiffrement. Pour vous aider à vÃĐrifier cela, vous pouvez effectuer les opÃĐrations suivantes :

Configurer les ParamÃĻtres de Journalisation:

Activez la journalisation des dÃĐcryptages pour vÃĐrifier que rien n’utilise encore l’ancienne clÃĐ :

php bin/magento config:set –lock-env dev/debug/gene_encryption_manager_only_log_old_decrypts 1

 

php bin/magento config:set –lock-env dev/debug/gene_encryption_manager_enable_decrypt_logging 1

 

Surveillez vos journaux à la recherche de “gene encryption manager” pour vÃĐrifier que rien n’utilise encore l’ancienne clÃĐ.

8.Invalidation de l'Ancienne ClÃĐ

Une fois que vous Êtes satisfait des vÃĐrifications, vous pouvez invalider votre ancienne clÃĐ avec la commande suivante :

php bin/magento gene:encryption-key-manager:invalidate


Avant l’invalidation env.php

AprÃĻs l’invalidation : 

Note:

 

Notez que Magento\Catalog\Model\View\Asset\Image continuera à utiliser la clÃĐ Ã  l’index 0 dans la section crypt/invalidated_key.

9.Tests à Effectuer

Assurez-vous de bien tester les ÃĐlÃĐments suivants :

  • Toutes les intÃĐgrations qui utilisent les API de Magento.

  • Les mÃĐdias doivent toujours s’afficher avec le mÊme rÃĐpertoire de hachage. S’il se rÃĐgÃĐnÃĻre, cela pourrait occuper un espace disque considÃĐrable et augmenter le temps d’exÃĐcution.

  • Connexion/DÃĐconnexion des utilisateurs administrateurs.

  • Connexion/DÃĐconnexion des clients.

En effectuant ces tests, vous vous assurez que tout fonctionne correctement aprÃĻs la migration vers la nouvelle clÃĐ de chiffrement.

 

Read More
11 JanMagento2

Comment faire pour arrÊter Brute Force Attacks dans Magento 1, 2

by admin0 Comments

 

Brute-force attacks deviennent trÃĻs courantes ces jours-ci. La plupart des sites Web sont vulnÃĐrables à de telles attaques. Si vous utilisez Magento, ils se trouvent dans / admin et / downloader par dÃĐfaut et peuvent Être utilisÃĐs de plusieurs maniÃĻres. Les pirates peuvent facilement les trouver et lancer Brute-force attacks. Dans une telle attaque, les mots de passe alÃĐatoires sont essayÃĐs automatiquement, jusqu’à ce qu’un succÃĻs.

 

Brute-force attacks est l’une des mÃĐthodes les plus simples pour accÃĐder à un site Web car, en dehors de la patience, elle ne nÃĐcessite aucune compÃĐtence ou ressource supplÃĐmentaire. Brute-force attacks sont simplement des essais et des erreurs. Lors d’une attaque, certaines pirates et certaines combinaisons de noms d’utilisateur et de mots de passe sont utilisÃĐs par les pirates informatiques pour tenter de pÃĐnÃĐtrer dans un compte.

Que devrais-je faire?

Nous recommandons les meilleures pratiques suivantes:

Pour arrÊter Brute-force attacks dans Magento 1, 2:

  • Personnalisez le chemin d’administration.
  • SÃĐcurisez votre compte administrateur Magento.
  • ProtÃĐger / dossier de tÃĐlÃĐchargement.
  • SÃĐcuriser le dossier .git.
  • Gardez votre magasin à jour.
  • Activer HTTPs pour le panneau d’administration.

Personnalisez le chemin d’administration.

 

L’URL de backend Magento 1 par dÃĐfaut est your-domain.com/admin. Étant donnÃĐ que l’adresse par dÃĐfaut Magento backend est la connaissance courante dans les suites force brute, vous pouvez facilement obtenir certains avantages en coupant les fruits à portÃĐe de main.

Personnalisez votre chemin d’administration actuel comme suit:

    • Editer le fichier /app/etc/local.xml Chemin XML: admin -> routeurs -> adminhml -> args -> frontName.
    • Vous pouvez voir <! [CDATA [admin]]>, changez-le maintenant en votre propre URL d’admin, par exemple: secret .
    • Maintenant vider le cache Magento pour prendre effet: SystÃĻme -> Gestion du cache -> Vider le cache Magento.

Magento 2: Non requis.

 

SÃĐcurisez votre compte administrateur Magento

Ne pas utiliser le compte administrateur

Les gens utilisent habituellement admin comme premier compte administrateur. C’est un problÃĻme de sÃĐcuritÃĐ pour votre magasin Magento, car les pirates informatiques peuvent facilement le faire. Nous vous recommandons de modifier le nom du compte d’administrateur pour votre propre nom de compte, pseudo ou votre adresse e-mail.

 

Gardez votre mot de passe fort.

La meilleure façon de protÃĐger votre boutique Magento contre une attaque par force brute est de – et d’aviser les autres administrateurs – d’utiliser un mot de passe fort. Un mot de passe adÃĐquat devrait:
  • Contient plus de 8 caractÃĻres
  • Comprend des chiffres
  • Comprend les caractÃĻres (l’utilisation de caractÃĻres minuscules et majuscules est fortement recommandÃĐe)
  • Comprend des symboles: optionnel

Dossier ProtÃĐger / TÃĐlÃĐcharger

Dans Magento 1, il utilise / downloader appelÃĐ dossier Magento Connect Manager pour installer les extensions de Magento Connect. C’est le chemin par dÃĐfaut, il est facile pour les pirates d’attaquer votre site web Magento. Vous pouvez le renommer mais il existe un moyen efficace de protÃĐger le dossier du tÃĐlÃĐchargeur, c’est IP whitelist

Apache


order deny,allow
deny from all
allow from x.x.x.x

 

x.x.x.x est l’adresse IP v4 de votre IP whitelist.

Nginx

 

Ouvrez le fichier de configuration de votre site web Magento. Exemple: /etc/nginx/conf/mywebsite.conf

 

Ajoutez le bloc de lignes suivant:

location /downloader/ {
allow x.x.x.x;
deny all;
location ~ \.php$ {
echo_exec @phpfpm;
}
}

Cpanel ou DA hosting

Vous pouvez demander l’assistance de vos fournisseurs d’hÃĐbergement.

Astuces: Choisissez un excellent hÃĐbergement pour votre boutique Magento 2.

 

ProtÃĐgez le fichier local.xml

 

Le fichier local.xml est une donnÃĐe trÃĻs sensible qui contient des informations de base de donnÃĐes, un chemin d’administration ou une clÃĐ de chiffrement. Si cette information est divulguÃĐ au public, vous rencontrerez de sÃĐrieux problÃĻmes.

 

VÃĐrifiez-le maintenant, naviguez dans votre navigateur vers http://votre-domaine.com/app/etc/local.xml S’il ne peut pas accÃĐder aux donnÃĐes, votre site Web est sÃŧr. Sinon, vous pouvez suivre le dossier Protect / downloader pour le dÃĐsactiver.

 

Dossier sÃĐcurisÃĐ .git

Git est maintenant populaire, chaque magasin utilise Git comme version de contrÃīle de son magasin. Le dossier Git contient de nombreuses informations importantes telles que l’URL de dÃĐpÃīt, les fichiers de code …

Vous pouvez suivre le dossier Protect / downloader pour le dÃĐsactiver.

Votre magasin est-il à jour?

 

  • Appliquer des paches de sÃĐcuritÃĐ. Il y a quelques correctifs de sÃĐcuritÃĐ que Magento a publiÃĐ rÃĐcemment, vous pouvez le tÃĐlÃĐcharger (ici) [https://www.magentocommerce.com/download]
  • Installez la derniÃĻre version de Magento. La mise à jour de la derniÃĻre version permettra à votre magasin de rester en santÃĐ.

Activer HTTPS pour le panneau d’administration

 

Depuis Magento est utilisÃĐ pour les transactions de commerce ÃĐlectronique, les donnÃĐes sont souvent trÃĻs sensibles. C’est pourquoi il est recommandÃĐ que toutes vos informations de connexion passent par une connexion sÃĐcurisÃĐe.

aller à System > Configuration > Website

Comment faire pour arrÊter Brute Force Attacks dans Magento 1, 2

Comment installer Magento 2 with Sample Data

Read More
09 JanMagento2

Comment installer Magento 2 with Sample Data

by admin0 Comments

Comment installer Magento 2 :

Ce guide d’installation vous montrera comment installer la derniÃĻre version de Magento 2 sur votre propre serveur.

Commencer : sÃĐlectionnez la solution

Il y a des solutions que nous pouvons commencer.

  • Installer à partir du fichier Zip: Installation facile, pas de ligne de commande.
  • Metapackage: Utiliser Composer pour installer Magento.
  • Installer à partir du rÃĐfÃĐrentiel Git: dÃĐveloppeur contributeur.

Dans ce guide, nous allons montrer comment installer la solution n ° 1. C’est facile de commencer.

Pour installer Magento 2 ÃĐtape par ÃĐtape:

  • TÃĐlÃĐcharger les paquets Magento.
  • TÃĐlÃĐcharger sur votre serveur.
  • Mise à jour.
  • ExÃĐcution de Magento Setup Wizard.
  • Terminer le processus d’installation.

Conditions prÃĐalables

Avant de continuer, assurez-vous que vous avez terminÃĐ tous les ÃĐlÃĐments suivants:

  • installer un serveur qui rÃĐpond à system requirements.
  • CrÃĐez le fichier Magento system_owner.

TÃĐlÃĐcharger les paquets Magento

Maintenant, allez sur Github pour tÃĐlÃĐcharger la derniÃĻre version de Magento Community Edition (CE).

TÃĐlÃĐchargez les derniÃĻres samples data ici.

TÃĐlÃĐcharger sur votre serveur

TÃĐlÃĐcharger un fichier zip et maintenant le temps de le tÃĐlÃĐcharger sur le serveur. Vous pouvez utiliser WinSCP, Filezilla pour le tÃĐlÃĐcharger sur le serveur, puis l’extraire dans le rÃĐpertoire public_html (appelons-le: Magento root directory).

Si vous utilisez un hÃĐbergement partagÃĐ, vous pouvez utiliser la fonction unzip / extract pour extraire le paquet Magento.

Si vous utilisez votre serveur, suivez les commandes:

Format de fichier et commande:

# File .tar.gz
tar zxf <filename>

# File .zip
unzip <filename>

 

Mise à jour

Ajouter une autorisation en ÃĐcriture pour les dossiers suivants:

var
app/etc
pub

 

ExÃĐcution de Magento Setup Wizard.

L’assistant d’installation est un assistant multi-pages qui vous permet de revenir en arriÃĻre et d’avancer d’une page à la fois. Vous ne pouvez pas ignorer les pages et vous devez entrer toutes les informations requises sur chaque page avant de pouvoir passer à la page suivante.

 

  • Entrez l’URL suivante dans la barre d’adresse de votre navigateur:

http://www.exemple.com/setup

  • Sur la page initiale, cliquez sur Agree and Set Up Magento.

Continuez avec les sujets suivants dans l’ordre prÃĐsentÃĐ pour terminer l’installation.

Etape1: Readiness Check

Cliquez sur Start Readiness Check. Si des erreurs sont affichÃĐes, vous devez les rÃĐsoudre avant de continuer.
Cliquez sur More detail si disponible pour afficher plus d’informations sur chaque vÃĐrification.
Cliquez sur Next.

 

Etape2: Ajouter une base de donnÃĐes

Remplissez les informations de la base de donnÃĐes puis cliquez sur Next.

 

Etape3: Web Configuration

Entrez les informations suivantes:

Votre adresse de magasin: http://www.exemple.com

Magento Admin Address: Entrez l’adresse URL relative à l’accÃĻs à Magento Admin.

Cliquez sur Next.

 

Etape4: Personnalisez votre magasin

  • Dans la liste Store Default Time Zone, cliquez sur le nom du votre store time zone.
  • Dans la liste Stock Default Currency, cliquez sur default currency à utiliser dans votre magasin.
  • Dans la liste Store Default Language, cliquez sur default language à utiliser dans votre magasin.
  • DÃĐvelopper Advanced Modules Configuration pour activer ou dÃĐsactiver les modules avant d’installer le logiciel Magento.

how-to-installer-magento-2-magento-modules-configuration

Etape5: CrÃĐer un compte administrateur

Entrez maintenant les informations d’administration telles que :

  • Nouveau nom d’utilisateur
  • Nouveau E-Mail
  • Nouveau mot de passe
  • Confirmez le mot de passe
  • Puis cliquez sur Next

Etape6: Tnstaller

AprÃĻs avoir terminÃĐ toutes les ÃĐtapes prÃĐcÃĐdentes dans Setup Wizard, cliquez sur Install Now.

Installation rÃĐussie Le message Success s’affiche pour indiquer une installation rÃĐussie.

Maintenant, allez à l’interface et le backend pour voir le rÃĐsultat.

Comment configurer le formulaire Contactez-nous et contacter l’adresse e-mail dans Magento2. 

Read More
08 JanMagento2

Comment configurer le formulaire Contactez-nous et contacter l’adresse e-mail dans Magento 2

by admin0 Comments

Le lien Contactez-nous sur le pied de page du magasin est un moyen facile pour les clients de rester en contact avec vous. Les clients peuvent remplir le formulaire pour envoyer un message à votre magasin.

Magento dÃĐfinit hello@example.com comme adresse e-mail par dÃĐfaut, mais vous souhaiterez peut-Être passer à la vÃītre. En outre, vous pouvez ÃĐgalement personnaliser les modÃĻles d’e-mail.

Voici le formulaire Contactez-nous dans le frontend, les visiteurs / clients peuvent vous envoyer un e mail via cette page.
how-configure-contacts-email-address-magento-2-contact-us-form

Une fois le formulaire envoyÃĐ, un message de remerciement s’affiche. Le bloc contact-us-info contient le formulaire et peut Être facilement personnalisÃĐ.

Pour configurer le formulaire Contactez-nous

  • Dans la barre latÃĐrale d’administration, cliquez sur Stores. Ensuite, Settings , choisissez Configuration.
  • Dans le panneau de gauche sous General, choisissez Contacts.
  • DÃĐveloppez la section Contact Us. Si nÃĐcessaire, dÃĐfinissez Enable Contact Us sur “Oui”.

how-configure-contacts-email-address-magento-2-contact-us-setting

 

    • DÃĐveloppez la section Email Options. Ensuite, faites ce qui suit:
      1. Dans le champ Send Emails , entrez l’adresse e-mail à laquelle les messages du formulaire Contact us sont envoyÃĐs.
      2. DÃĐfinissez Email Sender sur l’identitÃĐ du magasin qui apparaÃŪt en tant qu’expÃĐditeur du message à partir du formulaire Contact us . Par exemple: Email personnalisÃĐ 2.
      3. DÃĐfinissez Email Template sur le modÃĻle utilisÃĐ pour les messages envoyÃĐs à partir du formulaire contacts us.

Lorsque toutes les ÃĐtapes sont terminÃĐes, cliquez sur Save Config.

Pour personnaliser le formulaire contacts us:

  • Dans la barre latÃĐrale d’administration, cliquez sur Content. Ensuite, sous Elements, choisissez Blocks.
  • Trouvez le bloc Contact-us-info dans la liste et ouvrez-le en mode Édition.
  • Faites dÃĐfiler jusqu’au champ Content et apportez les modifications nÃĐcessaires.
  •  Utilisez la barre d’outils de l’ÃĐditeur pour mettre en forme le texte et ajouter des images et des liens
  •  Cliquez sur Show / Hide Editor pour travailler directement avec le code HTML.

Pour personnaliser le formulaire contacts us

 

  • AprÃĻs, cliquez sur Save Block pour terminer

Comment changer le message de bienvenue dans Magento2

 

Read More
28 DecMagento2

Changer le message de bienvenue dans Magento 2

by admin0 Comments
Un message de bienvenue s’affiche en haut à droite de l’en-tÊte qui inclut le nom du client lors de la connexion. Cependant, avec les visiteurs qui ne se connectent pas, un message “Default welcome msg!” s’affichera automatiquement par dÃĐfaut. et il est impossible de changer ce message.  Par consÃĐquent, vous devez vous assurer que ce message de bienvenue doit Être plus attrayant et accrocheur.

  
Comment changer le message de bienvenue dans Magento 2
 

La configuration de Magento 2 permet de modifier facilement le message de bienvenue en suivant les guides:

 

Pour changer le message de bienvenue:

Magento 2.0

  • Dans la barre latÃĐrale d’administration : Stores ==> Settings ==> Configuration.

Magento 2.1

  • Dans la barre latÃĐrale d’administration : Content ==> Design ==> Configuration == > Select your current theme
  • Choisissez la vue du magasin dans laquelle vous souhaitez modifier le message de bienvenue.
  • Sous la colonne Action, ouvrez le mode d’ÃĐdition Edit.
  • DÃĐveloppez la section Header Ensuite, entrez Welcome Text que vous souhaitez afficher.

 
Comment changer le message de bienvenue dans Magento2

  • Save Config.

Comment changer les adresses e-mail du magasin dans Magento 2.

Read More
27 DecMagento2

Comment changer les adresses e-mail du magasin dans Magento 2.

by admin0 Comments
Vous pouvez avoir jusqu’à cinq adresses ÃĐlectroniques diffÃĐrentes pour reprÃĐsenter des fonctions ou des dÃĐpartements distincts pour chaque magasin ou vue. En plus des identitÃĐs de messagerie prÃĐdÃĐfinies suivantes, vous pouvez configurer trois identitÃĐs personnalisÃĐes en fonction de vos besoins.

 

  • Contact gÃĐnÃĐral
  • Commercial
  • Service client
Chaque identitÃĐ et son adresse e-mail associÃĐe peuvent Être associÃĐes à des messages ÃĐlectroniques spÃĐcifiques et s’affichent en tant qu’expÃĐditeur de messages ÃĐlectroniques envoyÃĐs depuis votre magasin.

 

La modification des adresses e-mail du magasin est l’une des tÃĒches les plus importantes lorsque vous commencez à vendre sur Magento 2. Pour modifier l’adresse e-mail de votre magasin, vous pouvez effectuer les ÃĐtapes suivantes.

Etape 1 : Configurer les adresses ÃĐlectroniques pour votre domaine.

Avant de pouvoir configurer les adresses e-mail du magasin, vous devez configurer chacune d’elles en tant qu’adresse e-mail valide pour votre domaine. Suivez les instructions de votre administrateur de serveur ou de votre fournisseur d’hÃĐbergement de messagerie pour crÃĐer chaque adresse e-mail requise.

Etape 2 : Configurer les adresses e-mail pour votre magasin.

  • Dans la barre latÃĐrale d’administration, cliquez sur Stores Ensuite, Settings, choisissez Configuration.
  • Dans le panneau à gauche sous General, choisissez Store Email adresse.
  • DÃĐveloppez la section Contact gÃĐnÃĐral et procÃĐdez comme suit :

changerlesadressese-maildumagasindansMagento2

  • Dans le champ Sender Name, tapez le nom de la personne devant apparaÃŪtre en tant qu’expÃĐditeur des messages ÃĐlectroniques associÃĐs à l’identitÃĐ de contact gÃĐnÃĐral.
  • Dans le champ Sender Email, tapez l’adresse e-mail associÃĐe.
  • RÃĐpÃĐtez ce processus pour chaque adresse e-mail de magasin que vous prÃĐvoyez d’utiliser.
  • Une fois terminÃĐ, cliquez sur Save Config

Etape 3 : Mettre à jour la configuration de la messagerie commerciale.

Si vous utilisez des adresses e-mail personnalisÃĐes, assurez-vous de mettre à jour la configuration de tous les e-mails associÃĐs afin que l’identitÃĐ correcte apparaisse en tant qu’expÃĐditeur.

 

  • Dans le panneau de gauche, Sales, choisissez Sales Emails. La page comporte une section distincte pour chacun des ÃĐlÃĐments suivants :

+ Order Comments

+ Invoice Comments

+ Shipment Comments

+ Credit Memo Comments

  • En commençant par Order, dÃĐveloppez la section pour chaque message et assurez-vous que l’expÃĐditeur correct est sÃĐlectionnÃĐ.

changerlesadressese-maildumagasindansMagento2

Lorsque vous avez terminÃĐ, cliquez sur Save config.
Read More