Catégories
Conseils e-commerce

Risques critiques de sécurité Magento que vous devez connaître

En 2015, la firme de cybersécurité RiskIQ a commencé à suivre attaques par écrémage de cartes perpétrées par une «confédération lâche d'écumeurs de cartes de crédit en ligne"Ils ont surnommé Magecart, pour la méthode d'attaque qu'ils ont observée: modification de" la code mage.php dans les sections de panier des sites Web de Magento. "

Au cours des cinq dernières années, plusieurs groupes criminels dénommé Magecart ont continué d'évoluer tandis que leur nombre augmente. Ce vaste réseau de cyber-attaquants a fait tant de ravages, ils ont fait la liste de Wired de Les personnes les plus dangereuses sur Internet en 2018. Au moment où ils ont mérité cette distinction douteuse, ils avaient déjà atteint au moins 6 400 sites.

Mais l'infamie croissante de Magecart ne les a pas ralentis. En juin 2019, Cyberscoop a publié un article sur un nouvelle attaque de type Magecart capable de voler des données sur des sites utilisant les plateformes de paiement Magento, OpenCart ou OSCommerce.

Deux mois plus tard, le PCI Security Standards Council (PCI SSC) et Retail & Hospitality ISAC (RH-ISAC) a publié une déclaration commune sur les risques de Magecart pour les marchands en ligne, et au début de 2020, FBI délivré un avertissement similaire.

Aujourd'hui, Magecart est bel et bien vivant et reste une menace pour les sites vulnérables de la plateforme Magento.

Sur la base d'une recherche menée au deuxième trimestre 2019, la société de cybersécurité Foregenix a constaté que 87% des petites et moyennes entreprises sur la plate-forme Magento étaient à haut risque d'attaque – par rapport à moins de 10% des sites Web sur d'autres plates-formes populaires.

Examinons quatre des risques de sécurité Magento les plus critiques, l'impact de la fin de vie de Magento 1 sur la sécurité et les moyens d'augmenter la sécurité du magasin sur la plate-forme.

Risques de sécurité courants vus sur Magento

La plateforme open source Magento peut être vulnérable aux problèmes de sécurité. Les logiciels open source ont un processus de développement ouvert, donnant aux commerçants la possibilité de modifier leur propre code source. L'avantage d'avoir ce contrôle est la flexibilité et les nombreuses possibilités de personnalisation. Les inconvénients, cependant, incluent que vous assumez certaines responsabilités pour assurer la sécurité de votre site, selon le modèle de responsabilité partagée de Magento.

Pendant la période entre l'émission d'un nouveau correctif de sécurité et l'installation effective, vous pouvez être à risque. Et si votre logiciel n'est pas mis à jour vers la dernière version – également sous votre responsabilité – vous laissez encore plus de place aux acteurs malveillants pour s'y glisser.

Pour certaines entreprises, la personnalisation et le contrôle interne de l'open source sont attrayants – mais ils doivent être préparés aux risques accrus qui en découlent. Voici certains des plus grands risques de sécurité généralement observés sur Commerce électronique Magento des sites.

1. Attaques de serveur.

Si votre site de commerce électronique est hébergé sur un serveur sous votre contrôle, vous devez être prêt à le protéger contre les attaques de déni de service distribuées. Également connues sous le nom de DDoS, ces attaques submergent délibérément le serveur avec du trafic, interrompant le service sur votre site de commerce électronique.

Considérez-le comme un embouteillage empêchant les clients légitimes de se transformer en parking de votre magasin. Pour chaque minute que les acheteurs ne sont pas en mesure de parcourir votre boutique ou d'effectuer des achats, vous pourriez perdre des revenus.

2. Dégradation du site Web.

Parfois, des utilisateurs malveillants veulent simplement faire des ravages. La dégradation du site Web implique généralement la suppression de votre page d'accueil ou la suppression de divers fichiers de votre site. Bien que les attaques ne soient généralement pas de nature personnelle, de nombreux attaquants laisseront des messages obscènes ou haineux lorsqu'ils endommageront votre site.

En octobre 2019, Magento émis un correctif de sécurité pour une vulnérabilité qui a ouvert une porte dans Magento Commerce pour l'exécution de code à distance, qui est un moyen pour les attaquants de dégrader votre site. Les applications et intégrations tierces peuvent également introduire ce type de vulnérabilités.

Cela peut, bien sûr, avoir un impact sur la réputation de votre marque si la dégradation n'est pas détectée rapidement. Si les acheteurs croient que votre commerce électronique site pour être précaire, ils hésiteront avant de remettre les informations de paiement pour finaliser un achat.

3. Détournement de carte de crédit.

Le détournement de carte de crédit, également appelé écrémage de carte ou capture de carte silencieuse, se produit lorsque les attaquants sont en mesure d'exploiter une vulnérabilité qui leur permet d'exploiter les données de paiement provenant de votre panier. C'est pour cela que les attaquants Magecart sont connus.

Ce type de cyberattaque fonctionne par exploiter les vulnérabilités logicielles connues pour injecter du code JavaScript malveillant dans les systèmes logiciels de paiement en ligne. Il a une barrière à l'entrée relativement faible, ce qui fait du survol des cartes de crédit une forme courante de cyberattaque sur les sites de commerce électronique.

L'un des plus grands dangers de cela est qu'il peut ne pas être détecté pendant une longue période, compromettant les informations personnelles et de paiement sensibles. Perdre les informations personnelles de vos clients et les mettre en danger d'usurpation d'identité est l'un des moyens les plus rapides de perdre la confiance, ce qui décourage l'acquisition et la fidélité des clients. Ce Détails du document de visa ce que vous devez faire si la sécurité de votre site est violée.

4. Botnetting.

Le but des réseaux de zombies est d'exécuter automatiquement des tâches banales – et beaucoup plus rapidement que n'importe quel humain ou groupe d'humains pourrait rêver. L'utilisation la plus courante des bots, «l'exploration», n'est pas réellement malveillante; c'est ainsi que les moteurs de recherche comme Google savent que votre site existe et ce qu'il contient.

Mais dans certains cas, ils peuvent être utilisés pour ajouter votre machine à leur réseau de machines connectées, la mettant sous le contrôle de quelqu'un d'autre. À ce stade, le botnet peut être utilisé pour mener des activités malveillantes – par exemple, l'envoi de courriers indésirables à partir de votre adresse à des millions d'internautes. Non seulement cela réduira la confiance des destinataires dans votre marque, mais cela pourrait également réduire la délivrabilité de vos e-mails à l'avenir si votre serveur est mis sur liste noire par des filtres anti-spam.

Sunsetting Magento 1

Le 30 juin 2020, Magento 1.X – une série de versions de Magento – prendra officiellement fin. En d'autres termes, il atteindra la «fin de vie». Cela signifie que Magento ne créera plus de mises à jour ni n'émettra de correctifs de sécurité pour le produit.

Bien que cela ne signifie pas que votre boutique disparaîtra d'Internet ou que vous ne serez pas du tout en mesure de faire des affaires, cela introduit une multitude de défis importants:

  • Sans correctifs de sécurité, vous risquez de subir une violation de données si de nouvelles vulnérabilités sont découvertes.
  • Vous pourriez perdre la compatibilité avec les intégrations tierces, entraînant une instabilité et des performances de site incohérentes.
  • Le manque d'améliorations des fonctionnalités de base signifie que vous courez le risque de prendre du retard sur vos concurrents. Sans ces correctifs de «qualité de vie», les performances de votre site dans le temps souffrira probablement des vitesses plus lentes, des bugs visuels et une mise en page, selon cette agence de développement Magento.

Si vous voulez continuer à faire des affaires et faire évoluer votre marque, vous ne voudrez pas également faire face aux risques de sécurité et autres répercussions négatives de rester sur Magento 1.X.

Rester sur la plate-forme après sa fin de vie introduit de graves préoccupations – et l'un d'eux est la cybersécurité. Les détaillants qui restent sur Magento 1 après sa fin de vie pourraient s'exposer à de graves risques pour la sécurité.

Voici quelques-unes des autres frustrations potentielles que vous pourriez rencontrer si vous restez sur Magento 1:

  • Il est peu probable que les applications tierces reçoivent de nouvelles mises à jour et seront finalement incompatibles avec Magento 1.
  • Les nouvelles extensions pour votre boutique seront rares – s'il y en a du tout. Une agence de développement Magento écrit: «(L) a majorité des fournisseurs de modules ne supporte plus leurs extensions tierces… (à la discrétion du développeur). "
  • Certaines agences de développement peuvent cesser de travailler sur les sites Magento 1, et cela devrait être une tendance à la hausse à mesure que nous nous éloignons de la date de fin de vie.
  • Sans que Magento ne fournisse de support, ne développe pas de correctifs de sécurité ou ne publie de correctifs de qualité, vous et votre équipe serez entièrement responsables non seulement de la maintenance quotidienne à laquelle vous êtes habitué, mais également de la sécurité fondamentale et des fonctionnalités de votre logiciel hérité.

Fin de vie de Magento 1: les risques de sécurité augmentent

Magento ne prenant plus en charge la version 1 avec des correctifs de sécurité et des mises à jour logicielles, si de nouvelles vulnérabilités dans Magento 1 qui mettent en danger la conformité PCI des commerçants sont découvertes, les commerçants doivent assumer la responsabilité de prendre les précautions de sécurité nécessaires pour rester dans Conformité PCI. Ne pas le faire pourrait entraîner une perte de réputation et des vulnérabilités pour votre magasin et données client.

Même si vous êtes prêt à prendre le risque, votre fournisseur de paiement n'est peut être pas.

Votre niveau de risque augmente également, car le coucher de soleil de Magento 1 n'est pas un secret. Après la publication du dernier correctif de sécurité, les cybercriminels sauront exactement où rechercher les vulnérabilités probables.

1. Aucun correctif de sécurité.

Si vous utilisez Magento Open Source 1 (anciennement appelé Community Edition), vous êtes probablement déjà habitué à ne pas voir de nouvelles fonctionnalités. L'entreprise annoncé en septembre 2018 qu'ils n'émettraient que des correctifs de sécurité jusqu'à la fin de la vie de cette version, et plus aucun correctif de qualité ne serait émis.

Mais la fin de ces correctifs de sécurité est un gros problème. Si quelqu'un identifie une vulnérabilité dans le système Magento 1 après la fin de sa vie – que vous soyez sur Open Source ou Enterprise – il n'y aura personne chez Magento pour la corriger.

En octobre dernier, Magento a publié une mise à jour pour Magento 1 qui corrige 12 vulnérabilités de sécurité. Le coucher de soleil de Magento 1 n'éliminera pas l'opportunité de vulnérabilité; en fait, il sera beaucoup plus difficile à corriger, car les commerçants seront prêts à développer eux-mêmes un correctif – ou à trouver un développeur Magento qui l'a fait. Vous voudrez vous assurer d'avoir une équipe prête, si cela se produit.

Et, contrairement à Magento 1 qui était toujours pris en charge, cette équipe de sécurité devra non seulement installer des correctifs, mais également les créer. Cela nécessitera plus de ressources pour les développeurs – et le coût de leur paiement.

2. Perte de la conformité PCI.

La maintenance de PCI DSS nécessite que les organisations développent et maintiennent des systèmes et des applications sécurisés, ce qui comprend la prise de mesures proactives pour protéger vos systèmes et logiciels, et l'installation de correctifs de sécurité essentiels fournis par le fournisseur.

Vous devez vous assurer que vous faites tout ce qui est en votre pouvoir pour maintenir la conformité PCI. Une chute de conformité pourrait vous empêcher de travailler avec la plupart des fournisseurs de paiement de bonne réputation. Ils voudront savoir que vous avez mis en place les mesures de sécurité appropriées pour prouver que vous pouvez accepter les paiements en toute sécurité.

3. Ransomware.

Le ransomware est une forme de malware qui peut vous empêcher d'accéder à vos propres données. C'est ici qu'intervient la partie «rançon». Des utilisateurs malveillants tiennent vos données en «otage» et facturent une rançon. Ils prétendent que si vous le payez, ils vous rendront vos données. Parfois ils le font – et parfois non. Quoi qu'il en soit, c'est un problème coûteux à atténuer.

Si de nouvelles vulnérabilités sont découvertes dans M1 après EOL qui rendent possibles les attaques de ransomwares, vous serez responsable de les corriger. En 2016, selon Digital Commerce 360, Magento correctifs de sécurité émis et supprimé une extension "par mesure de précaution pour repousser les logiciels malveillants du système de gestion de contenu". Le ransomware est l'un des meilleurs arguments en faveur de la mise à jour récente, sauvegardes complètes de votre site et vos données.

4. Vulnérabilités dans la base d'extension.

Garder votre site à jour signifie également garder vos extensions à jour. Début 2019, le chercheur en sécurité Willem de Groot a rapporté que extensions tierces vulnérables étaient la source d'attaque la plus courante.

Mais la coordination de ces multiples mises à jour peut être un défi – et une modification de n'importe quelle pièce imbriquée de votre pile technologique peut avoir des conséquences inattendues sur d'autres pièces. Sans le soutien de Magento – et à mesure que les développeurs d'extensions se concentreront sur Magento 2 – cela deviendra un problème encore plus lourd pour votre équipe.

5. Manque de support Magento.

Si vous restez sur Magento 1 après le coucher du soleil, les mises à jour et les correctifs de sécurité ne seront plus. Cela signifie que la responsabilité de la sécurité et des fonctionnalités incombe uniquement à vous. Vous devez vous assurer que vous avez accès à des développeurs – de préférence ceux qui connaissent bien Magento – pour trouver des moyens de sécuriser votre boutique et de vous protéger contre les cyberattaques.

Comment sécuriser une boutique Magento 1?

Vos options pour sécuriser un site sur Magento 1 sont assez limitées. Une fois que vous vous retrouvez sans le soutien de Magento, une option serait d'engager un consultant en sécurité à temps partiel ou à temps plein pour se concentrer sur la prévention des attaques. Cela peut coûter cher – rapidement.

Certaines sociétés d'hébergement géré proposent également des services d'hébergement qui, selon eux, assureront la sécurité de la plate-forme. Bien que ces solutions puissent gérer la sécurité du serveur pour contrecarrer des attaques comme DDoS, ce n'est pas une solution complète. La plupart des entreprises n'offrent pas les correctifs et les mises à jour que vous devrez toujours apporter à votre code source Magento. Prendre cet itinéraire sera également coûteux, alors préparez vos budgets en conséquence.

Les risques de sécurité disparaîtront-ils avec Magento 2?

Vous n'aurez pas le même niveau de risque sur Magento 2 comme si vous restiez sur Magento 1 après sa fin de vie. Cela ne signifie pas que tous vos problèmes disparaissent automatiquement, mais au moins Magento recherchera activement des vulnérabilités et émettra des correctifs pour eux. La plateforme de commerce électronique a publié six mises à jour de sécurité en 2019 pour corriger les vulnérabilités découvertes.

Il est toutefois important de noter que le passage de Magento 1 à Magento 2 nécessite une migration complète, comme si vous choisissiez une nouvelle plate-forme de commerce électronique.

Étapes pour sécuriser un site Web Magento 2

Rester sur Magento 1 vous fera sauter à travers des cerceaux pour sécuriser votre site. Assurer la sécurité d'une installation de Magento 2 sera un peu plus facile que cela, car Magento fournira le support, les correctifs et les mises à jour – mais vous devrez toujours gérer la conformité PCI et vous assurer que vous appliquez les correctifs et les mises à jour correctement une façon.

Bien que Magento 2 soit techniquement conforme PCI, une fois que vous, en tant que commerçant, commencez à apporter des modifications au code source, vous assumez plus de responsabilité pour votre sécurité. Sur la page Responsabilité partagée de Magento: "Les clients sont responsables pour les exigences PCI de leur application personnalisée et de leurs propres processus. »

Comme l'écrit Magento dans leur page Web sur la responsabilité partagée, "le le client est responsable pour la sécurité de leur instance personnalisée de l'application Magento Commerce exécutée sur l'environnement cloud de Magento Commerce. » Et cela signifie que vous devrez:

  • Assurer une configuration et un codage sécurisés.
  • Effectuez une surveillance proactive de la sécurité, comme des tests de pénétration et des analyses de vulnérabilité régulières.
  • Assurez la sécurité de toutes les personnalisations, extensions, applications ou intégrations.
  • Contrôlez toutes les applications de correctifs de sécurité pour les déploiements de code.

Et, plus vous personnalisez votre boutique, plus il sera difficile d'installer les futures mises à jour et correctifs. Cela signifie que les défis continueront de se produire, même si vous effectuez une mise à niveau vers Magento 2. Mais ces mises à jour et correctifs sont essentiels à votre sécurité; les enjeux sont trop élevés pour les ignorer.

Une violation de la confiance des clients et les amendes potentielles qui en découlent pourraient désavantager sérieusement votre entreprise.

1. Inscrivez-vous aux alertes de sécurité et installez tous les correctifs de sécurité Magento.

Assurez-vous de rester connecté à toutes les informations provenant de Magento et répondez immédiatement à toute alerte de sécurité, correctifs émis ou mises à jour logicielles. Une fois qu'une vulnérabilité a été découverte, vous souhaiterez que votre équipe de développement implémente un correctif dès que possible pour assurer la sécurité de votre site.

2. Ajoutez des extensions de sécurité Magento.

Il existe un certain nombre d'extensions de sécurité conçues uniquement pour Magento que vous pouvez installer pour renforcer la sécurité de votre site Web. Ces extensions peuvent offrir des fonctionnalités telles que la possibilité de bloquer certaines adresses IP, de renforcer la sécurité des connexions, de protéger contre les commandes et les paiements frauduleux, et de détecter et supprimer les logiciels malveillants.

3. Surveillez l'analyse de sécurité Magento.

Le centre de sécurité de Magento propose une analyse gratuite que vous pouvez utiliser pour surveiller les risques de sécurité, mettre à jour les correctifs de logiciels malveillants et détecter tout accès non autorisé à votre site Web. Vous pouvez planifier l'analyse pour qu'elle s'exécute automatiquement aux intervalles de votre choix et obtenir un aperçu en temps réel de la sécurité de votre magasin.

4. Utilisez un WAF.

Un WAF est un pare-feu d'application Web. Son utilisation peut aider à prévenir différents types d'attaques en filtrant le trafic Web malveillant. Les WAF peuvent protéger contre les attaques telles que la contrefaçon intersite, l'écriture de scripts intersite, l'inclusion de fichiers et l'injection SQL. Les WAF sont un outil important dans votre boîte à outils de sécurité, mais vous ne devez pas vous y fier comme seule mesure de sécurité.

5. Activez l'authentification en deux étapes.

L'authentification en deux étapes protège votre connexion à un système, ajoutant une couche de sécurité supplémentaire en plus de la protection par mot de passe. Au lieu de simplement se connecter avec un mot de passe, les utilisateurs devront confirmer leur identité via un deuxième facteur, comme entrer un code unique envoyé à l'adresse e-mail de l'utilisateur.

Migrer vers une nouvelle plateforme de commerce électronique sécurisée

Que vous passiez à Magento 2 ou que vous passiez à un nouveau fournisseur de plate-forme de commerce électronique, vous subirez une replatform complète – y compris la migration des données et de nouveaux thèmes et modèles. Comme vous le savez déjà, cela prend beaucoup de temps.

Si vous allez passer par tout ce processus, cela vaut la peine d'examiner d'abord vos autres options et de réévaluer si Magento est la bonne plate-forme pour votre magasin.

Voici un aperçu de certaines des meilleures plateformes de commerce électronique. Utilisez cet arbre de décision pour vous aider à décider lequel convient le mieux à votre entreprise.

Arbre de décision Magento

Migration vers une plateforme de commerce électronique SaaS ouverte comme BigCommerce peut aider à réduire considérablement vos risques de sécurité et à éliminer la nécessité pour votre équipe d'effectuer des mises à jour logicielles et de sécurité.

Choisir un Plateforme SaaS est livré avec l'hébergement inclus, des performances fiables et la sécurité. La plate-forme prend en charge toutes les mises à jour logicielles et les correctifs de sécurité, vous protégeant des attaques de serveur et maintenant votre conformité PCI. (Remarque: Magento Commerce Cloud comprend également l'hébergement, mais utilise un modèle de responsabilité partagée pour la sécurité.)

Avec flexible Apis de BigCommerce, vous pouvez créer ce que vous voulez, vous connecter en toute transparence aux extensions, innover avec des expériences numériques créatives et évoluer à mesure que vous grandissez. BigCommerce prend également en charge des options telles que sans tête, y compris les applications Web progressives, qui nécessitaient auparavant une plate-forme open source.

Conclusion

Si votre boutique est toujours sur Magento 1, vous avez de sérieuses décisions à prendre et vous manquez de temps – rapidement.

Si vous souhaitez continuer à soutenir les transactions clients en toute sécurité et à représenter votre marque sous le meilleur jour possible, vous avez beaucoup de travail à faire avant le coucher du soleil Magento 1.

N'oubliez pas, si vous êtes toujours sur M1 après la date de fin de vie:

  • Vous perdrez le support de Magento concernant les correctifs de sécurité et les mises à jour logicielles.
  • Vos extensions tierces peuvent cesser de fonctionner entre elles ou avec votre logiciel Magento 1, laissant les fonctionnalités ou les opérations commerciales de votre site gravement entravées.
  • Des coûts de développement élevés viendront à vous pour garantir la sécurité et les performances logicielles.

Magento 1 EOL présente une opportunité de réexaminer vos véritables besoins de commerce électronique en tant qu'entreprise – et où vous souhaitez allouer vos revenus durement gagnés.

Si vous cherchez une option qui vous laisse moins problèmes de sécurité vous garder éveillé la nuit afin que vous puissiez vous concentrer sur la croissance, passer à une plate-forme SaaS flexible et ouverte – et commencer dès aujourd'hui.

Replatformez avec une solution sécurisée de BigCommerce.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *