Sécurisation et vaccination de Prestashop et Magento à Orléans


Dernière modification le 08/08/2018 par Vincent G.

Depuis 2008, votre professionnel de la cyber-sécurité, vous propose de sécuriser Prestashop et Magento à Orléans et Bourges.

Chaque jour, nous nous adaptons aux nouvelles menaces et vaccinons les systèmes de nos clients.

Avant toute chose, il est important de préciser que TouchWeb est uniquement spécialisé dans la cybersécurité de site Web (et d'applications Web) sous Debian (Linux). Nous n'avons pas vocation à sécuriser autres choses, ce n'est pas l'objet de notre agence web à Orléans pour Prestashop et Magento.

Pourquoi sécuriser votre site Internet ?

Voici quelques questions qu'il est important de se poser :

  • Êtes-vous en conformité avec le RGPD ?
  • Qui s'occupe de contrôler les accès à votre site Internet ?
  • Vos données peuvent-elles intéresser des tiers ? Exemple, un email d'un client qualifié, suivant les secteurs d'activité, peut valoir entre 0,10 € et 10€. Si votre base client possède 50 000 emails qualifiés, elle peut valoir plus de 500 000€.
  • Êtes-vous amené à vous connecter à votre site Web sur des réseaux publics ? (3G / 4G, Wifi libre)
  • Êtes-vous sur un secteur d'activité à risque ? (Banque, crédit, assurance, informatique etc)
  • Vos visiteurs peuvent-ils être amenés à interagir avec vos serveurs (dépôt de fichiers, formulaires, ...) ?
  • Stockez-vous des données sensibles ? (comme un mot de passe - la plupart des gens utilisent le même mot de passe partout, y compris pour se connecter à des services en ligne ayant un accès direct à leurs comptes en banque)

Si, à une seule de ces questions, votre réponse est "Oui", alors il est nécessaire que vous vous interrogiez sur les politiques de sécurité mises en place.

Certains vous diront peut-être que cela est surdimensionné ou disproportionné. Si vous entendez cela, nous vous invitons à leurs demander "Pourquoi ?" car avec des astuces simples, on peut mettre en place une politique de sécurité adaptée n'entraînant aucun surcoût.


Comment faire pour sécuriser Prestashop ou Magento ?

Il existe deux axes bien distincts de sécurisation : un BACK-END et un FRONT-END.

Le BACK-END est ce que vous ne voyez pas : il faut sécuriser votre serveur via une politique de sécurité adaptée à votre secteur d'activité et à la sensibilité des données que vous gérez.

Le FRONT-END est ce que vous voyez : il faut sécuriser l'accès à votre site Web et le traitement des données envoyées par vos visiteurs


Le de Touch'Web : Tous nos sites Internet sont sécurisés dès l'entrée de gamme.

Un avantage du monde informatique par rapport à d'autres secteurs est que nos travaux sont hautement réutilisables.

Ainsi nos outils nous permettant d'être Webmaster Prestashop et Magento ont été conçus, dès l'origine, pour garantir une sécurisation avancée et non contraignante sur ces deux axes, sans surcoût pour le client - grâce à une réutilisation astucieuse des dizaines de composants formant la base de notre superviseur.

Côté BACK-END : Nous avons mis en place une procédure automatique qualitative et standard de sécurisation de nos serveurs :

  • randomisation systématique des ports d'accès SSH / SFTP / FTPS (protection anti port-scanner) avec remontée automatique des logs à un hyperviseur accessible librement
  • impossibilité de se connecter en SSH par mot de passe (avec protection anti brute-force)
  • protection avancée des accès à votre serveur dont le serveur Web (protection anti ddos et veille permanente sur les potentielles tentatives d'intrusion)
  • analyse journalière antivirale supervisée en toute transparence sur notre système de météo publique (protection anti-virus via ClamAV et YARA)
  • surveillance avancée des serveurs et de leurs zoosphères applicatives (charge système, espace disponible sur les disques, inodes et la mémoire, santé des applications systèmes dont PHP-FPM, Apache2, MariaDB/MySQL, Varnish, Memcache, etc)
  • contrôle de la santé vos applications métiers (Prestashop, Magento, ...) avec reporting automatisé en cas de défaut
  • verrouillage par HTPASSWD (mot de passe bas niveau) des zones sensibles avec contrôle anti-brute force
  • sécurisation de vos serveurs emails pour qu'ils envoient vos mails de manière sécurisée (TLS / SSL) soumis à SpamAssassin
  • activation de DNSSEC sur vos noms de domaine (protection anti cache-poisoning)
  • contrôle avancée avec filtrage automatique des séquences suspectes de toutes les données issues de vos visiteurs
  • tolérance zéro aux anomalies systémiques via une méthode stricte de développement avec reporting automatique et patch correctif sous 30 minutes, 7j/7, 24h/24(1)
  • conservation des logs des serveurs (et d'un grand nombre d'applications systèmes) avec sauvegarde avancée (propagation journalière sur 5 serveurs de stockage dans un contexte multi-hébergeur)

Côté FRONT-END : tout est fait pour que cela soit le moins contraignant possible pour nos clients et leurs visiteurs

  • contrôle non contraignant des données issues de vos visiteurs (les vrais contrôles se font côté BACK-END)
  • gestion avancée des processus d'identification via OTP (One Time Password : Google Authenticator, Yubikey) ou pour plus de simplicité, par OAuth (Google et Facebook)
  • déploiement d'un certificat SSL PRO pour bénéficier de la navigation sécurisée par HTTPS avec mise en conformité HSTS sur-demande

Grâce à cela, votre site Web est sécurisé comme vous êtes en droit de l'attendre en 2018, sans surcoût car tout est automatisé (à part l'éventuel achat du certificat SSL si vous ne souhaitez pas utiliser notre solution d'hébergement mutualisé).

Dans notre agence Web à Orléans et Bourges, c'est notre quotidien de sécuriser Prestashop et Magento. Souhaitez-vous en discuter avec nous ?


(1) Exclusivement sur les sites Web exploitant notre moteur de site Internet BTW ENGINE en version 1.4.0 ou supérieure via nos serveurs