DocumentationCommerceCommerce KB

[PaaS uniquement]{class="badge informative" title="S’applique uniquement aux projets Adobe Commerce on Cloud (infrastructure PaaS gérée par Adobe) et aux projets On-premise."}

Guide de dépannage de l’outil Adobe Commerce Security Scan

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Créé pour :

  • Développeur

Découvrez comment résoudre les différents problèmes liés à l’outil Analyse de la sécurité pour Adobe Commerce et Magento Open Source.

Problème : impossible d’envoyer le site

L'outil Analyse de sécurité exige que vous prouviez que vous êtes propriétaire de votre site avant de pouvoir ajouter le domaine à l'outil Analyse de sécurité. Pour ce faire, ajoutez un code de confirmation à votre site à l’aide d’un commentaire HTML ou de la balise <meta>. Le commentaire HTML doit être placé à l’intérieur de la balise <body>, par exemple dans la section de pied de page. La balise <meta> doit être placée dans la section <head> de la page.

Un problème courant auquel sont confrontés les commerçants se produit lorsque l’outil de scan de sécurité n’est pas en mesure de confirmer la propriété du site du commerçant.

Si vous obtenez une erreur et que vous ne pouvez pas envoyer votre site pour l’analyse, reportez-vous à l’article ​ Message d’erreur lors de l’ajout de sites à l’analyse de sécurité ​ dépannage dans notre base de connaissances d’assistance.

Problème : rapports vides générés par l’outil Analyse de sécurité

Vous obtenez des rapports d'analyse vides de l'outil Analyse de sécurité ou des rapports contenant une seule erreur comme L'outil de sécurité n'a pas pu atteindre l'URL de base ou l'installation de Magento est introuvable sur l'URL fournie.

Solution

  1. Vérifiez que les adresses IP 52.87.98.44, 34.196.167.176 et 3.218.25.102 ne sont pas bloquées sur les ports 80 et 443.
  2. Recherchez des redirections dans l’URL envoyée (par exemple, des redirections https://mystore.com vers https://www.mystore.com ou vice versa ou des redirections vers d’autres noms de domaine).
  3. Vérifiez les journaux d’accès WAF/serveur web pour les demandes rejetées/non satisfaites. Les Forbidden HTTP 403 et les Internal server error HTTP 500 sont les réponses courantes du serveur qui provoquent la génération de rapports vides. Voici un exemple de code de confirmation qui bloque les requêtes des agents utilisateurs :
if(req.http.user-agent ~ "(Chrome|Firefox)/[1-7][0-9]" && client.ip !~ useragent_allowlist)

{   error 403;   }

Consultez également l’article Le rapport de l’outil d’analyse de sécurité est vierge dans notre base de connaissances d’assistance pour plus d’informations.

Problème : problème de sécurité résolu, mais toujours visible comme vulnérable lors de l’analyse

Vous avez résolu un problème de sécurité et vous attendez que l'analyse de sécurité indique que vous n'êtes plus vulnérable au problème nouvellement résolu. Au lieu de cela, vous constatez que le rapport généré par l’analyse de sécurité vous signale toujours comme vulnérable au problème de sécurité.

Cause

Les métadonnées des instances cloud sont collectées uniquement pour les projets cloud active et live et ne constituent PAS un processus en temps réel.

Le script de collecte de statistiques est exécuté une fois par jour, puis l'outil Analyse de sécurité doit récupérer les nouvelles données ultérieurement.

La latence prévue du cycle de synchronisation peut aller jusqu’à une semaine et prend au moins 24 heures.

Les statuts suivants peuvent apparaître à partir des contrôles :

  1. Réussite : l’outil Analyse de sécurité a analysé vos données mises à jour et approuvé les modifications.
  2. Inconnu : l’outil Analyse de sécurité ne dispose pas encore de données sur votre domaine ; attendez le prochain cycle de synchronisation.
  3. Échec : si le statut indique un échec, vous devrez résoudre le problème (activer 2FA, modifier l’URL d’administration, etc.) et attendre le prochain cycle de synchronisation.

Si 24 heures se sont écoulées depuis que les modifications ont été apportées à l’instance et qu’elles ne sont pas reflétées dans le rapport d’analyse de sécurité, vous pouvez soumettre un ticket d’assistance. Indiquez l’URL du magasin lors de l’envoi du ticket.

Échec suspect de BotNet

Vous recevez une notification concernant l’échec de « BotNet Suspect ».

Cause

  1. Le nom de domaine de magasin est entré dans une « Liste de participants potentiels de BotNet » en 2019, et le panneau d'administration, le téléchargeur ou la fonctionnalité RSS ont été publiquement exposés, et/ou son URL a été mentionnée dans les forums d'écumage CC.
  2. L’alerte peut être due à des signes de compromission de magasin et/ou à des programmes malveillants, comme JavaScript sur la page.
  3. Ce n'est pas nécessairement un problème permanent. Si le magasin a déjà été compromis, son nom d'hôte peut toujours flotter sur le web sombre comme nom de « victime ».
  4. Elle peut également être due non pas à Adobe Commerce, mais à une erreur système (au niveau du système d’exploitation).

Solution

  1. Recherchez les comptes SSH nouvellement créés, les modifications apportées au système de fichiers, etc.
  2. Effectuez une vérification de la sécurité.
  3. Vérifiez la version d’Adobe Commerce et la mise à niveau, en particulier si elle exécute toujours Magento 1, qui n’est plus pris en charge.
  4. Si le problème persiste, envoyez un ticket d’assistance et indiquez l’URL du magasin.

Problème : échec de l’injection de compromis

Vous recevez une erreur concernant un échec d’« injection de compromis ».

Solution

  1. Examinez les scripts indiqués dans le rapport de l’outil Analyse de sécurité .
  2. Consultez le corps source de la page d’accueil pour les injections de script en ligne.
  3. Passez en revue les modifications apportées à la configuration du système, en particulier les HTML head et Miscellaneous HTML personnalisés dans les valeurs de section footer.
  4. Effectuez une révision du code et de la base de données pour détecter les modifications et signes inhabituels de programmes malveillants injectés.

Si rien de ce qui précède ne vous aide, envoyez un ticket d’assistance et indiquez l’URL du magasin et le message d’erreur à partir du rapport.

Questions fréquentes

L’analyse de sécurité affectera-t-elle les performances de mon site web ?

Non. L’analyse de sécurité effectue une par une toutes les demandes comme s’il s’agissait d’un seul utilisateur. Pour cette raison, l’analyse de sécurité ne doit pas affecter les performances du site web.

Pendant combien de temps Adobe Commerce conserve-t-il les rapports d’analyse de sécurité ?

Vous pouvez générer les 10 rapports précédents de votre côté. Si des rapports plus anciens sont requis, contactez l’assistance Adobe Commerce.

Quelles informations sont nécessaires lors de l’envoi d’un ticket d’assistance ?

Indiquez le nom de domaine tel qu’il est envoyé pour l’analyse de sécurité, MAGEID et Cloud Project_ID. Notez que l’ID de projet cloud n’est pas obligatoire pour Adobe Commerce On-premise.

Que se passe-t-il si je supprime mon magasin de l’analyse des outils de numérisation ?

Si vous supprimez l’envoi du magasin, toutes les données associées, y compris les rapports d’analyse, seront supprimées. Cette opération est irréversible. L’envoi du domaine de magasin après sa suppression crée un NOUVEL envoi.

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a