Comment faire pour arrêter Brute Force Attacks dans Magento 1, 2

 

Brute-force attacks deviennent très courantes ces jours-ci. La plupart des sites Web sont vulnérables à de telles attaques. Si vous utilisez Magento, ils se trouvent dans / admin et / downloader par défaut et peuvent être utilisés de plusieurs manières. Les pirates peuvent facilement les trouver et lancer Brute-force attacks. Dans une telle attaque, les mots de passe aléatoires sont essayés automatiquement, jusqu’à ce qu’un succès.

 

Brute-force attacks est l’une des méthodes les plus simples pour accéder à un site Web car, en dehors de la patience, elle ne nécessite aucune compétence ou ressource supplémentaire. Brute-force attacks sont simplement des essais et des erreurs. Lors d’une attaque, certaines pirates et certaines combinaisons de noms d’utilisateur et de mots de passe sont utilisés par les pirates informatiques pour tenter de pénétrer dans un compte.

Que devrais-je faire?

Nous recommandons les meilleures pratiques suivantes:

Pour arrêter Brute-force attacks dans Magento 1, 2:

  • Personnalisez le chemin d’administration.
  • Sécurisez votre compte administrateur Magento.
  • Protéger / dossier de téléchargement.
  • Sécuriser le dossier .git.
  • Gardez votre magasin à jour.
  • Activer HTTPs pour le panneau d’administration.

Personnalisez le chemin d’administration.

 

L’URL de backend Magento 1 par défaut est your-domain.com/admin. Étant donné que l’adresse par défaut Magento backend est la connaissance courante dans les suites force brute, vous pouvez facilement obtenir certains avantages en coupant les fruits à portée de main.

Personnalisez votre chemin d’administration actuel comme suit:

    1. Editer le fichier /app/etc/local.xml Chemin XML: admin -> routeurs -> adminhml -> args -> frontName.
    1. Vous pouvez voir <! [CDATA [admin]]>, changez-le maintenant en votre propre URL d’admin, par exemple: secret .
    1. Maintenant vider le cache Magento pour prendre effet: Système -> Gestion du cache -> Vider le cache Magento.

Magento 2: Non requis.

 

Sécurisez votre compte administrateur Magento

Ne pas utiliser le compte administrateur

Les gens utilisent habituellement admin comme premier compte administrateur. C’est un problème de sécurité pour votre magasin Magento, car les pirates informatiques peuvent facilement le faire. Nous vous recommandons de modifier le nom du compte d’administrateur pour votre propre nom de compte, pseudo ou votre adresse e-mail.

 

Gardez votre mot de passe fort.

La meilleure façon de protéger votre boutique Magento contre une attaque par force brute est de – et d’aviser les autres administrateurs – d’utiliser un mot de passe fort. Un mot de passe adéquat devrait:
  • Contient plus de 8 caractères
  • Comprend des chiffres
  • Comprend les caractères (l’utilisation de caractères minuscules et majuscules est fortement recommandée)
  • Comprend des symboles: optionnel

Dossier Protéger / Télécharger

Dans Magento 1, il utilise / downloader appelé dossier Magento Connect Manager pour installer les extensions de Magento Connect. C’est le chemin par défaut, il est facile pour les pirates d’attaquer votre site web Magento. Vous pouvez le renommer mais il existe un moyen efficace de protéger le dossier du téléchargeur, c’est IP whitelist

Apache


order deny,allow
deny from all
allow from x.x.x.x

 

x.x.x.x est l’adresse IP v4 de votre IP whitelist.

Nginx

 

Ouvrez le fichier de configuration de votre site web Magento. Exemple: /etc/nginx/conf/mywebsite.conf

 

Ajoutez le bloc de lignes suivant:

location /downloader/ {
allow x.x.x.x;
deny all;
location ~ \.php$ {
echo_exec @phpfpm;
}
}

Cpanel ou DA hosting

Vous pouvez demander l’assistance de vos fournisseurs d’hébergement.

Astuces: Choisissez un excellent hébergement pour votre boutique Magento 2.

 

Protégez le fichier local.xml

 

Le fichier local.xml est une donnée très sensible qui contient des informations de base de données, un chemin d’administration ou une clé de chiffrement. Si cette information est divulgué au public, vous rencontrerez de sérieux problèmes.

 

Vérifiez-le maintenant, naviguez dans votre navigateur vers http://votre-domaine.com/app/etc/local.xml S’il ne peut pas accéder aux données, votre site Web est sûr. Sinon, vous pouvez suivre le dossier Protect / downloader pour le désactiver.

 

Dossier sécurisé .git

Git est maintenant populaire, chaque magasin utilise Git comme version de contrôle de son magasin. Le dossier Git contient de nombreuses informations importantes telles que l’URL de dépôt, les fichiers de code …

Vous pouvez suivre le dossier Protect / downloader pour le désactiver.

Votre magasin est-il à jour?

 

  • Appliquer des paches de sécurité. Il y a quelques correctifs de sécurité que Magento a publié récemment, vous pouvez le télécharger (ici) [https://www.magentocommerce.com/download]
  • Installez la dernière version de Magento. La mise à jour de la dernière version permettra à votre magasin de rester en santé.

Activer HTTPS pour le panneau d’administration

 

Depuis Magento est utilisé pour les transactions de commerce électronique, les données sont souvent très sensibles. C’est pourquoi il est recommandé que toutes vos informations de connexion passent par une connexion sécurisée.

aller à System > Configuration > Website

Comment faire pour arrêter Brute Force Attacks dans Magento 1, 2

Comment installer Magento 2 with Sample Data

Read More