Le 31 mai 2017 dernier, l’équipe de Magento a publié son dernier patch de sécurité et une mise à jour pour les deux versions Enterprise et Community des Magento 2 et 1. Le patch SUPEE-9767 et l’update fixent 16 failles de sécurité. Dont 7 de ces dernières sont notées comme “Critique” (High Severity) par Magento. Pour en savoir plus: Magento Patches
La majorité de ces failles nécessitent d’être administrateur, ce qui limite les risques. Mais nous voyons de plus en plus de tentatives de la part des hackers pour accéder à ces accès (extensions et plugins malveillants, attaques par brute force ou encore phishing).
Nous, ainsi que l’équipe de Magento, recommandons vivement de mettre à jour votre Magento 1 vers la version 1.9.3.3 le plus tôt possible. Nous préférons une mise à jour du Magento VS. l’installation du patch même si la démarche peut prendre plus de temps.
Comme toujours, nous vous recommandons aussi de changer les URL d’administration (ne pas utiliser l’adresse default /admin/), ni l’utilisateur ‘admin’ et d’utiliser des passwords complexes.
Ces failles sont aussi présentes sur les version Magento 2 et il est conseillé de passer aux versions 2.1.7+ au plus vite.
Besoin d’une équipe Magento pour vous accompagner ? Magento experts contact.