Hoe houd ik Magento veilig?

»Hoe houd ik Magento veilig?

Hoe houd ik Magento veilig?

Magento stond enige jaren geleden bekend als een heel veilig systeem. En terecht, want het was op dat moment veruit het veiligste systeem op de markt. Maar in de loop der tijd kwam Magento toch steeds vaker in het nieuws door ernstige of minder ernstige veiligheidsproblemen. Zo was er de beruchte tot Shoplift gedoopte bug die flink in het nieuws kwam.

Is Magento onveiliger dan andere systemen? Nee. Sterker: als je het vergelijkt met een hoop andere pakketten, is er bij Magento in de basis al heel goed nagedacht over veiligheid. Ieder softwaresysteem bevat bugs. Er zijn twee redenen waarom ze bij Magento wat meer opvallen:

  • Magento is open source software. Iedereen kan de broncode bekijken en iedereen kan dus ook fouten vinden. Dit is zowel een zegen als een vloek: fouten worden sneller gevonden en opgelost, maar ze kunnen ook makkelijker door kwaadwillenden misbruikt worden.
  • Magento is gratis en heel populair. Feitje: Nederland telt zelfs het hoogste aantal Magento-shops per hoofd van de bevolking ter wereld. Hoe populairder, hoe meer het loont voor kwaadwillenden om hun pijlen erop te richten.
  • Veiligheidsproblemen in je WordPress-site waarop je je bedrijf presenteert met een paar foto’s en wat contactgegevens, hebben natuurlijk veel minder impact dan een webshop waar (hopelijk) duizenden mensen hun persoonlijke gegevens achterlaten om een bestelling te plaatsen.

Gelukkig is je Magento-installatie goed veilig te houden als je een beetje je best doet. Hieronder onze 10 tips om je Magento-shop veilig te houden.

1. Houd Magento up-to-date

Voor Magento 1 komen niet veel nieuwe versies meer uit, maar de nieuwe versies die uitkomen bevatten vrijwel zonder uitzondering verbeteringen in de veiligheid. Zorg dat je zo snel mogelijk na de release op de nieuwe versie draait.

Er zitten wel een paar addertjes onder het gras: het kan zijn dat je theme niet klaar is voor de nieuwe versie doordat functionaliteiten niet uitgewerkt zijn en het kan ook dat door de veranderingen in de nieuwe versie bepaalde extensies niet meer goed werken.

2. Installeer veiligheidspatches

Met enige regelmaat komen er officiële veiligheidspatches van Magento uit welke specifieke problemen oplossen. Deze krijgen altijd een naam, zo heette de patch die de Shoplift-bug oploste bijvoorbeeld SUPEE-5344, en zijn van de Magento-site te downloaden.

Patchen doe je in plaats van het upgraden naar een nieuwe versie. Het verschil zit ‘m vaak in dat er bij een nieuwe Magento-versie functionaliteiten bijkomen en technische bugs opgelost worden, terwijl de patches alleen veiligheidsproblemen oplossen. Het installeren van veiligheidspatches kost doorgaans minder tijd dan het upgraden van Magento.

Weten welke patches nodig zijn voor welke Magento-versie? Fabrizio Balliano heeft een Magento Patches Finder gemaakt waar je snel kunt zien welke patches je nodig hebt. Lang leve de community!

3. Installeer je extensies bewust

Niet iedereen heeft natuurlijk de technische kennis om een extensie binnenstebuiten te keren, maar het is heel belangrijk om te weten wat je installeert en wat een extensie precies doet. Er zijn zelfs extensies die bewust een deurtje openzetten voor hackers!

Hoewel de verleiding groot is om een kant-en-klare extensie te kopen die zelfs nog veel meer kan dan je nodig hebt, is het soms verstandiger om een extensie zelf te (laten) schrijven met precies de functionaliteit die je wilt. Code die niet geschreven is, kan ook geen bugs bevatten!

4. Houd je extensies up-to-date

Eigenlijk is dit net zo belangrijk als Magento up-to-date houden. Helaas zien we maar al te vaak dat extensie-ontwikkelaars niet heel begaafde programmeurs zijn. De enige reden dat het bij Magento vaker mis lijkt te gaan, is het feit dat een specifieke extensie vaak maar beperkt gebruikt wordt en daardoor niet de moeite voor hackers om hun pijlen op te richten.

Hoewel we van mening zijn dat veiligheidspatches levenslang bij de aankoop van je extensie horen, denken de meeste ontwikkelaars daar anders over en zul je dus een upgrade moeten aanschaffen.

5. Doe af en toe een securityscan

Onze lieve collega’s van Byte hebben MageReport ontwikkeld waarmee je in een handomdraai je Magento-shop automatisch laat doorlichten. Zelfs op veelvoorkomende problemen met extensies wordt gecontroleerd! Natuurlijk betekenen groene lichtjes hier niet dat je achterover kunt leunen en dat alles veilig is, maar de belangrijkste en meestvoorkomende lekken worden ontdekt.

6. Filter het webverkeer voor het Magento bereikt

Hiervoor is wel flink wat technische kennis vereist, maar het is een heel doeltreffende manier van beveiliging. Je kunt bijvoorbeeld op bepaalde URL’s een maximumaantal verzoeken toestaan in een bepaalde tijd, of bepaalde URL’s helemaal ontoegankelijk maken. Vooral brute force aanvallen, dat zijn aanvallen waarmee men in korte tijd een hele hoop inlogcombinaties probeert, worden hiermee afgeslagen.

Het Hypernode-hostingplatform heeft standaard al veel filters in de configuratie van de webserver gebouwd waarmee hackers minder kans maken.

7. Maak gevoelige informatie ontoegankelijk

Het gebeurt nog veel te vaak dat een webserver verkeerd is ingesteld en er bestanden en gegevens toegankelijk zijn die niet voor vreemde ogen bestemd zijn. Magento helpt al door het meeleveren van .htaccess-bestanden waarin regels zijn opgenomen om bestanden ontoegankelijk te maken, maar deze worden soms vergeten te kopiëren of men vergeet dat deze bestanden weinig soelaas bieden bij de veelgebruikte Nginx-webserver.

Voor de ontwikkelaars onder ons: Vergeet je ook niet even te controleren dat je .git-map ontoegankelijk is, je composer.json en composer.lock en eventueel je vendor-map?

8. Houd je admin-users in de gaten

Vaak is het het eerste dat hackers doen: een extra admin-account aanmaken zodat ze in je backend kunnen inloggen. Vervolgens kunnen ze natuurlijk alles wat jij ook kan in je shop. Waaronder bijvoorbeeld je Paypal-gegevens aanpassen of gratis orders plaatsen.

Controleer af en toe of je geen gekke admin-accounts ziet.

9. Maak backups

Een open deur, maar onmisbaar als je shop wordt gehackt. Het helpt natuurlijk niet tegen de gevolgen van gestolen gegevens uit je database, maar helpt je wel om snel weer de schade te herstellen.

Controleer ook af en toe of je backups er ook daadwerkelijk zijn, want je zult de eerste niet zijn die er op het moment dat de backups nodig zijn achter komt dat die al een tijdje niet gemaakt werden 🙂

10. Gebruik versiebeheer

Natuurlijk maakt iedere zichzelf respecterende programmeur gebruik van versiebeheer (bijvoorbeeld git of svn) om releases vloeiend te laten verlopen en veranderingen bij te houden. Toch?

In het geval van een gehackte shop kan het nog een groot voordeel opleveren: je kunt precies zien of er veranderingen in de code zijn gemaakt door de hackers en je hebt die met een enkel commando weer ongedaan gemaakt.

Laat je webshop door ons maken

De belangrijkste tip die we iedere webshop-eigenaar (in spé) kunnen geven 🙂

Bij iedere regel code die we schrijven houden we de veiligheid in ons achterhoofd en we installeren zo snel mogelijk bij alle klanten de veiligheidspatches. Daar hoef je niet om te vragen, dat doen we.

Neem vandaag nog contact op!

2017-05-23T22:47:37+00:00 Categories: Magento|