Publié le : 25-07-2014
L'éditeur de Magento vient de publier un message d'avertissement à destination de ses utilisateurs au sujet d'une vulnérabilité potentielle. Celle-ci ne concerne pas directement Magento mais un plugin (MailPoet) du célebre CMS WordPress. Le plugin peut permettre à des hackers de télécharger des fichiers PHP sur le serveur dans le but de les exécuter ensuite. Cela peut présenter un risque pour la solution e-commerce si WordPress et Magento sont installés sur le même serveur. Il préconise donc d'effectuer rapidement une mise à jour du plugin MailPoet pour corriger cette vulnérabilité.Les informations complémentaires sont disponibles sur le blog du plugin : http://www.mailpoet.com/blog/
A l'occasion de cette annonce, l'éditeur en profite pour rappeler les bonnes pratiques préconisées afin de garantir la sécurité d'une installation Magento. Il conseille d'utiliser des mots de passe administrateur respectant des règles de complexité et de les renouveler régulièrement. En précisant que des mots de passes trop simple peuvent permettre aux attaquants d'installer des extensions avec un code malveillant.
Il est également conseillé de désactiver l'accès au Magento Connect Manager et au Downloader pour des sites en production ou de restreindre leur accès aux adresses IPs de confiance. Mais également de vérifier régulièrement la liste des extensions installées ainsi que les activités suspectes dans les logs.
La sécurité des commerçants est l'une des principales priorité de l'éditeur. Il indique que celle-ci doit également l'être pour le commerçant vis à vis de ses clients. Magento continuera d'identifier et de communiquer concernant les solutions aux éventuels problèmes de sécurités afin de permettre à ses clients de réduire leur vulnérabilité.