blog
Sécuriser l’admin de son Magento

Sécuriser l’admin de son Magento

La sécurité d’un e-commerce est un enjeu essentiel, voire critique, dans la protection de votre base de données clients, l’intégrité de votre boutique et le bon fonctionnement de votre chaîne de vente.

Une fois que vous disposez d’un hébergement sécurisé, d’un serveur protégé et d’une boutique Magento maintenue à jour, il est important de pouvoir contrôler les accès à votre back-office et ainsi bloquer les connexions non-désirées (pirate, mot de passe trop simple, employé négligeant, ancien associé, etc…).

L’un des accès les plus efficaces reste le filtrage de l’adresse IP. Ainsi, même avec le mot de passe, seule une liste précise d’adresses IP peuvent être déclarées comme autorisées à accéder au back-office. Les autres auront une page d’erreur leur signifiant l’interdiction.

 

Pour ce faire, il suffit d’ajouter ces quelques lignes dans le fichier .htaccess situé à la racine de votre boutique :

## Magento Backoffice Filtering

RewriteCond %{REQUEST_URI} ^/(index.php/)?admin/ [NC,OR]

RewriteCond %{REQUEST_URI} ^/downloader/ [NC]

RewriteCond %{REMOTE_ADDR} !^1\.2\.3\.4$

RewriteRule ^(.*)$ http://%{HTTP_HOST}/ [R=302,L]

 

En détails :

Si la page accéder est /admin (ou /index.php/admin)

OU si la page accédée est /downloader (gestion des modules)

Et que l’adresse IP du poste n’est pas 1.2.3.4

Alors, je redirige le visiteur vers la page d’accueil

Attention à bien remplacer les « . » de votre adresse IP par « \. ». Le « . » signifiant « n’importe quel caractère à défaut.