French

Guide de sécurité OpenCart – 16 étapes pour une sécurité OpenCart solide comme le roc

Updated on: February 16, 2021

Guide de sécurité OpenCart – 16 étapes pour une sécurité OpenCart solide comme le roc

Possédez-vous une boutique en ligne? Il est fort probable que votre site Web soit construit à l’aide d’OpenCart. Dans le scénario d’aujourd’hui, la popularité des magasins en ligne a propulsé OpenCart sous les projecteurs. C’est l’une des plateformes open-source les plus courantes pour les sites de commerce électronique.

Puisqu’il est open-source, n’importe qui peut jeter un œil aux codes sources et comprendre ce qui se passe. Donc, OpenCart court le risque d’être piraté. En tant que propriétaire, vous devez faire attention à votre site Web et prendre des mesures pour renforcer votre sécurité OpenCart. Voici quelques étapes pour protéger votre site Web et éloigner tous les attaquants.

Étapes pour protéger votre site Web OpenCart

1. Obtenez un serveur d’hébergement sécurisé

Il existe de nombreux serveurs d’hébergement qui proposent leurs services pour un prix très modique. Cependant, tous ces serveurs d’hébergement ne sont pas sécurisés. Il s’agit souvent d’un hébergement partagé et hébergent généralement des milliers d’autres sites Web. Le fait d’avoir plusieurs sites Web sur la même bande passante peut affecter les performances de chaque site Web. Cela ouvre également votre site Web à de nombreux risques de sécurité.

En tant que propriétaire d’une boutique en ligne, vous devez disposer d’un serveur sécurisé pour héberger votre site Web. Avec un service d’hébergement plus puissant, vous pouvez être assuré que votre site Web est à l’abri des attaques côté serveur (telles que les attaques DDoS) et d’autres attaques possibles.

2. Utilisez la dernière version d’OpenCart

L’utilisation de logiciels anciens et obsolètes est un moyen sûr de se faire pirater. De nouvelles versions sont publiées avec des fonctionnalités avancées et plus sécurisées, ainsi que des correctifs de sécurité. Avec une version plus récente, vous pouvez utiliser des fonctionnalités de sécurité nouvellement ajoutées pour protéger votre site Web et ainsi renforcer votre sécurité OpenCart. Au moment d’écrire ceci, la dernière version d’OpenCart – OpenCart 3.0.3.2

3. Suppression du dossier d’installation

Une fois l’installation terminée, vous devez supprimer le dossier d’installation. Si le dossier d’installation est toujours présent, n’importe qui peut accéder au dossier et une fois qu’il relance l’installation, il peut écraser votre site Web.

Ainsi, pour garder votre site Web protégé, allez dans ‘Shop’ dans votre client FTP puis supprimez le dossier ‘Install’.

OpenCart rappelle également à ses utilisateurs si un dossier d’installation est détecté après la fin de la configuration afin de garantir une sécurité OpenCart forte.

Dossier d’installation d’OpenCart

4. Protection du répertoire administrateur

  1. Modifiez le préfixe de la base de données OpenCart:

Lors de l’installation par défaut d’OpenCart, le préfixe par défaut est «oc_». Ainsi, il devient plus facile pour les attaquants d’identifier et de lancer une attaque sur votre site Web. Pour éviter cela, changez le préfixe en quelque chose de familier pour éloigner les attaquants de toute piste.

  1. Modifier l’identifiant de connexion et le mot de passe par défaut:

Après l’installation de base, les informations d’identification par défaut doivent être modifiées. S’il n’est pas modifié, un attaquant peut deviner ces mots de passe par défaut et accéder à tous vos fichiers et dossiers. Utilisez une combinaison d’alphabets et de chiffres pour créer un mot de passe fort.

  1. Modifiez l’emplacement par défaut de votre répertoire administrateur:

Dans le cas d’une installation par défaut, tout le monde peut accéder au répertoire admin en utilisant l’URL d’administration. Ainsi, afin d’empêcher tout accès non autorisé à ces fichiers importants, vous devez modifier cette URL d’administration en quelque chose de plus personnalisé.

  1. En utilisant le fichier ‘.htaccess’ dans votre dossier d’administration:

Il est préférable d’utiliser des mesures supplémentaires pour conserver vos dossiers et fichiers d’administration. Pour ce faire, vous devez utiliser «.htaccess». En utilisant ce fichier, vous pouvez empêcher les utilisateurs d’accéder à ces fichiers importants, renforçant ainsi la sécurité d’OpenCart. Modifiez ce fichier et mentionnez les vérifications appropriées pour autoriser uniquement certains utilisateurs à accéder à ces fichiers et dossiers.

5. Gérer les autorisations des fichiers et des dossiers

Pour protéger vos fichiers et dossiers, vous devez définir l’autorisation pour ces dossiers. Lors de la définition des autorisations, vous devez comprendre les différentes catégories:

  1. Les utilisateurs en lecture peuvent uniquement afficher et lire vos fichiers
  2. Les utilisateurs en écriture peuvent modifier vos fichiers
  3. Les utilisateurs d’exécution peuvent exécuter ces fichiers

En outre, il existe trois types d’utilisateurs auxquels on peut attribuer une autorisation:

  1. Utilisateur-Ceci est le propriétaire du fichier
  2. Groupe – Cela inclut un groupe d’utilisateurs. Par exemple, un groupe de membres du site
  3. Monde-Cela inclut tout visiteur

Vous pouvez définir toutes les autorisations sur 755 ou 644. Vous pouvez consulter ce blog sur Fichiers OpenCart et autorisations de dossier recommandés pour plus d’informations.

6. Activation de SSL pour votre site Web et le volet d’administration

Habituellement, les données transférées dans les deux sens ne sont pas cryptées. Le chiffrement est nécessaire car les données non chiffrées sont accessibles à tout intermédiaire. Cela pourrait conduire à la dissimulation d’informations importantes telles que les identifiants de messagerie ou les noms d’utilisateur, les données financières, etc.

En utilisant SSL ou HTTPS, vous pouvez chiffrer efficacement toutes vos données et empêcher quiconque de les espionner. Le premier emplacement que vous devez protéger est votre panneau d’administration. Si les données de votre panneau d’administration ne sont pas chiffrées, les attaquants peuvent accéder à vos informations de connexion.

Accédez à Settings >> Server. Vous y trouverez une option “Use SSL”. Cochez simplement la case d’option à côté de Oui, enregistrer. C’est tout.

Paramètres SSL dans OpenCart

En tant que propriétaire de magasin, vous ne voudriez pas que les informations d’identification de vos clients tombent entre de mauvaises mains. Ainsi, cette étape de base peut vous éviter de nombreuses attaques et attaquants.

7. Activation de la détection des fraudes dans OpenCart

OpenCart vous permet de détecter les fraudes dans votre boutique en ligne. Un nom d’entreprise MaxMind dispose d’un système qui vous permet de le faire. Ce service analyse les adresses IP qui visitent votre vitrine et détecte toute fraude basée sur ces IP. Vous devez vous abonner à ce service pour l’activer.

Aller aux paramètres. Vous trouverez cette option sous «Général» sous «Fraude».

8. Sécurité OpenCart via les extensions

  1. Installez des extensions authentiques:

N’installez que ceux extensions prises en charge par OpenCart et de préférence disponible auprès d’OpenCart lui-même. L’installation d’une extension tierce peut mettre en danger votre sécurité OpenCart. Les extensions approuvées ne présentent aucune faille de sécurité connue et sont continuellement mises à jour pour éviter qu’elles ne soient piratées.

  1. Mettez à jour toutes vos extensions:

Toutes les extensions de confiance sont régulièrement mises à jour avec les derniers correctifs de sécurité et les correctifs pour les bogues connus. La mise à jour de vos extensions peut protéger votre site Web contre les attaques ou bogues connus. Les attaquants peuvent facilement traverser une extension obsolète avec une vulnérabilité et ainsi affaiblir votre sécurité OpenCart.

  1. Désinstallez les extensions inutilisées ou obsolètes:

Si vous n’utilisez pas régulièrement certaines extensions, les supprimer est une meilleure option. Comme ils ne sont pas utilisés en permanence, ils peuvent devenir obsolètes et constituer une menace cruciale pour la sécurité d’OpenCart.

9. Authentifications à deux facteurs pour la connexion

La connexion via un identifiant et un mot de passe est devenue obsolète. À l’ère d’aujourd’hui, l’authentification à 2 facteurs est considérée comme plus sûre que la méthode traditionnelle de connexion. Les pirates informatiques malveillants peuvent accéder à votre identifiant et mot de passe et peuvent facilement prendre le contrôle de votre compte. 2FA (authentification à 2 facteurs) supprime toute la puissance d’un seul moyen de connexion.

Dans 2FA, vous devez d’abord vous connecter avec votre identifiant et votre mot de passe habituels, après quoi un code unique est envoyé à votre numéro de mobile, en entrant cela, vous serez entièrement connecté. Dans ce cas, même si les attaquants connaissent votre mot de passe, ils ne peuvent pas connectez-vous sans obtenir ce code unique dans votre numéro de téléphone. En tant que propriétaire, vos clients méritent d’être en sécurité et il est donc important d’activer 2FA sur votre site Web OpenCart. Avec cela, vous pouvez aider vos clients à rester en sécurité et éloigner les pirates informatiques malveillants.

10. Utilisation de ReCAPTCHA pour authentifier les utilisateurs

ReCAPTCHA est devenu une méthode très efficace pour vérifier si les utilisateurs sont des humains ou de mauvais robots. Les robots essaient souvent d’explorer des sites Web et de collecter des données importantes telles que les identifiants de messagerie et les noms d’utilisateur. Ils peuvent également augmenter le trafic sur votre site Web. Pour empêcher les robots d’accéder à votre site Web. OpenCart fournit une extension pour obtenir ReCAPTCHA sur votre site Web

11. Limitation des types de fichiers téléchargés

En limitant le type de fichiers pouvant être téléchargés sur votre site Web, vous pouvez protéger votre site Web contre les téléchargements inutiles et empêcher les utilisateurs de télécharger des fichiers nuisibles. Les attaquants peuvent utiliser des fichiers infectés pour rendre votre site Web vulnérable, puis lancer des attaques.

Vous pouvez éviter cela en:

  1. connexion à votre panneau d’administration
  2. aller dans ‘Systèms’ >> ‘Settings’
  3. Sous l’onglet “Option”, vous trouverez “Allow upload file extensions“.

Modifiez les types de fichiers pouvant être téléchargés sur votre site Web.

12. Implémentation de pare-feu

Les robots et les attaquants sont toujours à l’affût et peuvent lancer des attaques sans aucun avertissement. Pour protéger votre boutique en ligne de toutes ces menaces, vous devez mettre en œuvre un pare-feu puissant qui protégera votre site Web 24 heures sur 24. UNE bon pare-feu bloquera tous les mauvais robots et toute tentative d’attaque par des pirates.

13. Audits de sécurité réguliers

En tant que propriétaire de site Web, vous devez être conscient des failles de sécurité de votre site Web. Comprendre ces failles de sécurité est la première étape vers un système de sécurité solide autour de votre site Web. Ainsi, faire un audit de sécurité complet de votre site Web peut vous informer de l’état et du niveau de sécurité de votre site Web.

Vous pouvez utiliser cet outil pour faire un Audit de sécurité automatisé gratuit de votre site Web. Si vous recherchez un résultat plus complet. Optez pour cela en profondeur Programme VAPT (aka audit de sécurité) par Astra. Cette image ci-dessous illustre le processus VAPT d’Astra.

14. Analyse des logiciels malveillants pour la détection des menaces

Les logiciels malveillants sont un moyen courant pour les attaquants de rendre votre site Web vulnérable. Du vol d’informations à la propagation de l’infection aux utilisateurs, les logiciels malveillants peuvent être programmés pour atteindre n’importe quel objectif. Pour les rendre plus efficaces, les logiciels malveillants sont généralement programmés pour rester cachés et être difficiles à identifier.

C’est là que les analyses de logiciels malveillants sont utiles. Un scanner de malware efficace peut détecter les logiciels malveillants cachés et les supprimer.

15. Vérifiez vos flux de paiement

La section des paiements est l’un des aspects les plus importants d’une boutique en ligne. Il existe de nombreux plugins qui s’intègrent à OpenCart et ajoutent des fonctionnalités à ces options de paiement. Cependant, en raison de ces extensions, votre sécurité OpenCart peut être compromise. Si vous utilisez une extension obsolète, vous devez la mettre à jour. Voici les types de piratage de paiement les plus courants:

  1. Faire des achats sans paiement
  2. Changer le prix des produits
  3. Détourner les paiements vers les comptes de l’attaquant

Analysez si toutes vos options et canaux de paiement fonctionnent correctement. S’assurer qu’il n’y a pas de divergences et de changements dans le fonctionnement de base de ces modules.

16. Sauvegarde des fichiers et des données

Avoir une sauvegarde de votre site Web est toujours une bonne idée. Dans le cas où des attaquants décident de supprimer des fichiers importants de votre site Web, vous aurez votre sauvegarde pour restaurer ces fichiers et remettre votre site Web en ligne. Chaque fois que vous configurez votre site Web OpenCart, sauvegardez toujours les fichiers nécessaires. OpenCart vous offre une option pour le faire.

Une fois que vous vous connectez à votre compte, sous «Paramètres», vous trouverez «Maintenance» puis «Sauvegarde / Restauration». Dans cette option, vous aurez le choix de sélectionner toutes les tables que vous devez sauvegarder. Ces tables seront enregistrées en tant que SQL Chaque fois que vous avez besoin de restaurer ces fichiers de sauvegarde, allez dans l’onglet «Restaurer» et téléchargez le fichier SQL. La sauvegarde de vos fichiers est une étape supplémentaire pour assurer une forte sécurité OpenCart.

Conclusion

Les étapes ci-dessus vous protégeront certainement des menaces courantes et moins courantes sur votre site Web. De plus, la bonne mesure de sécurité OpenCart empêchera le vol, l’utilisation abusive ou la manipulation de vos données client. En tant que propriétaire d’une boutique en ligne, vous devez être prudent 24 heures sur 24.

Même si nous soutenons vraiment ces bricoleurs, cela ne se compare pas à l’activation d’un système de sécurité dédié sur votre site Web. Astra Security a sécurisé des milliers de sites Web grâce à sa technologie, ses outils et son expertise de pointe. Du pare-feu d’application Web au scanner de logiciels malveillants en passant par la suppression des logiciels malveillants en un clic, il contient tout ce dont votre site Web a besoin.

Was this post helpful?

Aakanchha Keshri

Aakanchha is a technical writer and a cybersecurity enthusiast. She is an avid reader, researcher, and an active contributor to our blog and the cybersecurity genre in general. To date, she has written over 200 blogs for more than 60 domains on topics ranging from technical to promotional. When she is not writing or researching she revels in a game or two of CS: GO.
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

Psst! Hi there. We’re Astra.

We make security simple and hassle-free for thousands
of websites and businesses worldwide.

Our suite of security products include firewall, malware scanner and security audits to protect your site from the
evil forces on the internet, even when you sleep.

earth spiders cards bugs spiders

Made with ❤️ in USA France India Germany