Pour des raisons de sécurité, il est nécessaire de changer votre url d’accès à votre console d’administration. Si vous ne le faites pas, de nombreux bots tenteront de se connecter. La sécurisation de votre console d’administration passera par deux actions :
- L’accès aux utilisateurs
- L’accès par la faille du dossier downloader
Changer l’accès admin Magento par le local.xml
Rien de plus simple : Il vous suffit d’éditer le fichier app/etc/local.xml et d’éditer le contenu du noeud adminhtml, cela correspond à la clé d’url :
<admin>
<routers>
<adminhtml>
<args>
<frontName><![CDATA[votre-chemin-admin-securise]]></frontName>
</args>
</adminhtml>
</routers>
</admin>
Sécuriser le dossier downloader
En ajoutant simplement downloader à la suite d’un nom de domaine sous Magento, vous constaterez que vous êtes souvent redirigé sur une page de connexion à l’admin. Cette faille de sécurité peut être corrigée de deux manière :
- En modifiant le nom du dossier downloader, vous bloquerez automatiquement les robots.
- En créant ou en éditant dans votre dossier downloader un .htaccess bloquant l’accès de cette manière (xx.xx.xx… correspond à votre IP autorisée :
order deny,allow
deny from all
allow from xx.xx.xx.xx
Fail2Ban : Limiter les attaques sur Magento
Quoi qu’il en soit, l’utilisation de l’utilitaire Fail2Ban sur votre serveur permettra d’emprisonner les adresses IP qui ont des comportements trop insistants et/ou répétitifs. Gardez en tête qu’un site Magento peu sécurisé suscitera l’interet des bots.