Watchlog PRO - Amélioration de la sécurité
Alors que l'extension gratuite Watchlog liste toutes les IPs qui essaient d'accéder à votre backoffice Magento, Watchlog PRO vous permet d'empêcher ces tentatives d'intrusion.
Watchlog PRO est une version bien plus complète qui vous offre plus d'options que Watchlog.
Watchlog |
Watchlog Pro |
|
Graphiques des tentatives de connexion Vérifiez les tentatives de connexion par jour et par mois sur les différents graphiques. |
||
Tableaux des tentatives de connexion Obtenez des tableaux détaillés et résumés sur les données des tentatives de connexion. |
||
Historique des tentatives de connexion Définissez la durée de l'historique et recevez des rapports périodiques. |
||
Liste noire et Liste blanche Créez une liste blanche et une liste noire des adresses IP, autorisez l'accès seulement aux adresses IP de la liste blanche. |
||
Bloquez automatiquement ou manuellement les adresses IP Bloquez les adresses IP après X tentatives de connexion, bloquez les adresses IP de la liste noire pendant X minutes. |
Détection d'une potentielle attaque par force brute à grande échelle sur les backoffices Magento !
Plusieurs milliers de sites Magento sont probablement concernés par une attaque par force brute de très grande ampleur qui vise de toute évidence à forcer l'accès des backoffices Magento.
Le principe de ce genre d'attaque est simple : des robots tentent de se connecter à votre backoffice en multipliant les combinaisons d'identifiants/mots de passe, jusqu'à identifier des accès valides.
Une fois ces accès identifiés, votre site Magento devient une proie facile pour toute entreprise de piratage : exploitation de la base de données, détournement de vos paiements, hacking, concurrence déloyale...
Comment avons nous eu connaissance de cette attaque ?
Les modules payants Wyomind sont tous livrés avec un composant nommé Notification Manager. Ce composant a pour but de vous tenir informés des mises à jour de nos différentes extensions.
Ce module vous laisse le choix des modules pour lesquels vous souhaitez recevoir des notifications et est accessible depuis votre backoffice dans :
SystemConfigurationWyomindNotification Manager
Afin d'alimenter les notifications personnalisées dans votre backoffice, ce module récupère notre flux RSS (https://www.wyomind.com/rss.xml) comme celui de Magento (https://www.magentocommerce.com/notifications_feed) à chaque tentative de connexion à votre backoffice.
Si vous souhaitez plus d'informations sur le fonctionnement des flux RSS et des notifications dans Magento, nous vous conseillons de lire l'article très complet de Nick Jones, un Spécialiste Magento Certifié.
Ce choix d'implémentation à mis en lumière depuis plusieurs jours des pics vertigineux de requêtes concernant plusieurs milliers de sites et impliquant des tentatives de connexion à répétition.
Ces tentatives de connexions peuvent se répéter plusieurs fois par minute et peuvent atteindre en une journée plusieurs dizaines de milliers de tentatives mettant gravement en péril la sécurité de votre site web comme vous pouvez le voir ci-dessous.
Plusieurs utilisateurs ont déjà rapporté des adresses IPs comme vous pouvez le voir sur le screenshot ci-dessous.
Comment vérifier si mon site fait l'objet de ce genre d'attaque ?
Si vous avez reçu un message de notre part c'est que nous avons constaté un nombre anormalement élevé de requêtes. Dans ce cas, installez notre module gratuit de détection des tentatives d'intrusion Watchlog pour tracer les tentatives de connexions.
Pourquoi mon hébergeur ne peut pas me protéger contre ces attaques ?
Il s'avère très difficile de détecter et d'appliquer un pare-feu sur ce genre d'attaque pour les raisons suivantes :
- Les IPs changent constamment
- Les tentatives de connexion des IPs sont exécutées de manière répétitive et à des intervalles irréguliers
- Les IPs tentent d'accéder à votre backoffice Magento depuis des pages différentes (Downloader, page de connexion à l'admin...)
Que faire ?
Heureusement, ces attaques sont faciles à contourner ! Plusieurs solutions existent pour rendre invisible votre backoffice aux robots qui tentent d'y accéder :
- Modifiez le nom de votre backoffice
- Activez le captcha pour votre backoffice
- Activez la protection par IP de votre backoffice par htaccess
- OU utilisez Watchlog PRO qui agira comme un pare-feu et remplacera les étapes ci-dessus
Comment utiliser Watchlog PRO ?
Watchlog PRO est une extension pour Magento facile à utiliser. Vous pourrez vous apercevoir très rapidement si votre backoffice Magento est menacé par une attaque par force brute et si des robots ou personnes essaient de se connecter à votre panneau d'administration Magento.
ETAPE 1 : Configurez votre extension Watchlog PRO
Dans l'onglet Connexion attempts history, vous pouvez définir un certain nombre de paramètres.
History lifetime in days : Vous avez la possibilité de définir la durée de l'historique en jours. Par exemple, vous pouvez définir la durée de l'historique sur 30 jours dans le but de supprimer automatiquement toutes les tentatives de connexion datant de plus de 30 jours.
Send a periodical report : Vous pouvez choisir de recevoir des rapports réguliers. Si vous définissez cette option sur YES, vous devrez également définir :
- Period to report in days : le nombre de jours que vous souhaitez inclure dans votre rapport.
- Report title : le titre de votre rapport.
- Report recipients : les adresses email séparées par des virgules pour recevoir le rapport.
- Report schedule : les jours et heures auxquels vous souhaitez envoyer le rapport.
White/Blacklist settings
Dans l'onglet White/Black list settings, vous pouvez créer une liste blanche et une liste noire.
Vous devez remplir un certain nombre de champs:
- Whitelisted IPs
Cliquez sur Add IP pour ajouter une adresse IP à la liste puis sur Save config.
- Secret key to whitelist your IP
Dans le cas où votre adresse IP est sur liste noire, vous pourrez utiliser cette clé secrète pour l'ajouter dans la liste blanche.
- Allow access to whitelisted IPs only
Vous pouvez aussi n'autoriser l'accès qu'aux adresses IP de la liste blanche. - Blacklisted Ips
Cliquez sur Add IP pour ajouter une adresse IP dans la liste noire puis sur Save config. - Number of attempts before being blacklisted
Vous pouvez définir le nombre de tentatives avant qu'une adresse IP soit automatiquement bloquée. - Blacklisted IPs blocked for X minutes
Vous pouvez également choisir de définir des adresses IP dans la liste noire seulement pour un temps donné (ici en minutes). - Message to display if blocked
Définissez le message qui sera affiché si une adresse IP de la liste noire tente de se connecter au backoffice. - Send a report when an IP is automatically blocked
Recevez ou non un rapport lorsqu'une adresse IP est automatiquement bloquée. - Report title
Donnez un nom à votre rapport. - Report recipients
Entrez les adresses email qui recevront le rapport (séparée par une virgule).
ETAPE 2 : Vérifiez les tentatives de connexion à votre backoffice Magento
Vous aurez une vision globale des tentatives de connexion exécutées depuis la page de connexion à votre panneau d'administration dans :
SystemWatchlog
Les statistiques des tentatives de connexion seront affichées dans des graphiques et des grilles.
Graphiques des tentatives de connexion
Vous devriez avoir deux graphiques résumant les statistiques des tentatives de connexion sur 2 périodes afin de vous donner la meilleure vue possible. Le premier graphique affichera les données sur 30 jours alors que le second résumera les tentatives de connexion sur 24 heures.
Sur chaque graphique, vous avez plusieurs courbes :
- Success : représente les tentatives de connexion qui ont réussi
- Failed : représente les tentatives de connexion qui ont échoué
- Blocked : représente les tentatives de connexion d'adresses IP qui ont été bloquée (ces IP n'ont en fait pas accès à la page de connexion au panneau d'administration)
Grilles des tentatives de connexion
Vous devriez trouver un résumé des derniers jours sous 2 vues différentes :
- Vue détaillée
- Vue résumée
Vous pourrez voir directement dans chacune des vues si vous avez ajouté des adresses IP à la liste noire ou à la liste blanche depuis :
SystemConfigWyomindWatchlog
- Noir : représente les adresses IP qui sont dans la liste noire
- Blanc : représente les adresses IP qui sont dans la liste blanche
Dans la vue résumée, les adresses IP seront en noir ou en blanc seulement si lors de la tentative de connexion, ces adresses IP étaient déjà dans la liste noire ou dans la liste blanche.
Dans la vue détaillée, vous trouverez un tableau détaillé des tentatives de connexion. Parmi cette grille, vous trouverez plusieurs informations :
- Les adresses IP qui ont essayé de se connecter à votre backoffice.
- Les dates auxquels les adresses IP ont essayé de se connecter.
- Les identifiants utilisés.
- Les messages affichés à chaque tentative de connexion.
- Les URLs à partir desquels les adresses IP ont tenté de se connecter.
- Les statuts des adresses IP : Success ou Failed.
En cliquant sur Switch to the summarized view vous devriez avoir un tableau contenant des informations de base. Cela vous permettra d'avoir une vue globale sur le nombre de fois qu'une adresse IP a tenté de se connecter à votre backoffice. Vous trouverez :
- L'adresse IP qui a tenté de se connecter
- La date de la dernière tentative
- Le nombre de tentatives de connexion
- Le nombre de tentatives de connexion échouées
- Le nombre de tentatives de connexion réussies
- Le nombre de tentatives de connexion bloquées
- L'action : Vous avez la possibilité d'ajouter ou de retirer une adresse IP à la liste noire ou blanche (Add IP to the whitelist/blacklist ou Remove IP from the whitelist/blacklist).
Par défaut, chaque tableau affiche les données sur les 30 derniers jours. Vous pouvez modifier ce paramètre dans l'onglet History lifetime in days depuis :
SystemConfigWyomindWatchLog
A n'importe quel moment vous pouvez changer de vue.