Patches und Sicherheitsupdates für Magento
Magento-Update: Damit Ihr Shop stets sicher und aktuell ist
Magento ist ähnlich wie andere Open Source-Systeme (bspw. WordPress, Shopware oder TYPO3) sehr beliebt und weit verbreitet. Zu der weiten Verbreitung kommt hinzu, dass in Online-Shops auch wertvolle Kundendaten gespeichert sind.
Dadurch sind Online-Shops ein beliebtes Angriffsziel von Hackern – Sicherheitsupdates für Magento sollten nach dem Erscheinen sehr schnell eingespielt werden. Denn ist das Update bekannt, können Hacker versuchen nachzuvollziehen, wie sich die Lücke ausnutzen lässt.
Mit ECONSOR als Partner sind Sie auf der sicheren Seite. Obwohl ein Update von Magento eine Herausforderung sein kann (wie ein kurzer Blick in die Magento-Devdocs zeigt), spielen wir diese zeitnah nach der Veröffentlichung ein. Magento hat unter dem Begriff Patch-Release sowohl Sicherheitsupdates als auch funktionale Updates zusammengefasst.
Wie können Sie Ihre Magento-Installation sicher halten?
Immer das neuste Magento-Update:
Momentan gibt es von Magento in etwa vier Sicherheitsupdates im Jahr. Magento stellt diese über seinem Security Center zur Verfügung – dort sehen Sie auch immer die neuste Versionsnummer.
Welchen Stand Ihre Magento-Installation hat und ob ein Sicherheitsupdate einzuspielen ist, lässt sich anhand der Versionsnummern erkennen. Weicht Ihre Versionsnummer vom neusten Release an der dritten Stelle ab (zum Beispiel 2.4.1 zu 2.4.2.), so wurde ein Patch-Release veröffentlicht. Bei Hotfix-Releases würde sich die vierte Stelle ändern (z.B. 2.4.2.1).
Sicherheitsupdates für Magento bringen häufig zahlreiche Änderungen am Quellcode mit sich, was das Update etwas aufwändiger macht – daher bieten wir als Magento-Agentur das Einspielen an. Sofern Sie mit uns einen Wartungsvertrag abgeschlossen haben, informieren wir Sie über ein neues Release. Dazu gehört auch eine seriöse Kostenschätzung für den Aufwand des Updates inklusive Testing und Golive.
Sicherheitsupdates für Magento-Extensions
Thrid-Party- und eigene Erweiterungen
Auch eigener Quellcode oder der Quellcode von eingekauften Erweiterungen sollte regelmäßig auf Sicherheitslücken bzw. Updates überprüft werden.
- Extensions / Third-Party-Code
Je verbreiteter eine Extension ist, desto wahrscheinlicher ist es, dass Sicherheitsprobleme in dieser Extension gefunden wurden. Mit steigender Einsatzdauer und steigendem Alter der Extension steigt auch die Wahrscheinlichkeit von Sicherheitslücken. Hier sollte regelmäßig nach Updates beim Hersteller der Extension gesucht werden. - Eigenentwicklungen
Auch Eigenentwicklungen, wie beispielsweise Magento-Schnittstellen oder eigene Geschäftsprozesse als Magento-Extension, sollten regelmäßig geprüft und auf den aktuellen Stand der Technik gebracht werden.
Die Sicherheit des Shopsystems Magento
Wie Magento Sicherheitslücken verhindert – oder aber zumindest schnell behebt:
Es gibt keine fehlerfreie Software. Und so muss auch Magento immer wieder Fehler (sogenannte „Bugs) beheben – manchmal sind dies funktionale Fehler, seltener sicherheitskritische Fehler. Um etwaige Sicherheitslücken schnell zu finden und zu beseitigen, arbeitet Magento wie folgt:
- Jede neuere Magento-Installation verfügt über integrierte Sicherheitsfunktionen, die Nutzereingaben prüfen, sicher in abspeichern und auch wieder sicher ausgeben.
- Nimmt Magento Änderungen am Quellcode vor, dann werden automatisierte Tests absolviert, die den Quellcode auf etwaige Sicherheitsverstöße oder -fehler überprüfen.
- Angestellte Sicherheits-Experten aus dem Hause Magento suchen aktiv nach Sicherheitslücken – auch indem sie komplexe Bedrohungsszenarien nachspielen.
- Außerdem belohnt Magento externe Sicherheits-Experten mit einem Bug-Bounty-Programm. Dort können neu entdeckte Lücken gemeldet werden. Ein sehr großer Teil der Security-Bugs wird auf diese Weise entdeckt.
Magento-Support
Professioneller Magento-Support für Ihren Online-Shop
Sie benötigen Support im technischen oder administrativen Bereich? Wir bieten Ihnen umfassende Beratungs- und Supportleistungen.
Auch wenn die aktuelle Magento Version bereits eine ausgereifte Shopsoftware darstellt, ergeben sich immer wieder Fragen und Unklarheiten. Durch die stetige Weiterentwicklung der Software in Form von System-Upgrades kommen zudem immer wieder Neuerungen hinzu. Fortlaufender Magento-Support durch unsere Magento-Experten ist daher zu jeder Zeit gewährleistet. Für unsere Kunden bestehen bereits kurze Kommunikationswege und Interessenten können gerne jederzeit einen Termin mit einem unserer Magento-Experten vereinbaren.
___
Wir bringen Ihren Magento-Shop wieder zum Laufen! Unser Magento-Support-Team kümmert sich um eine schnelle und kompetente Lösung bei Problemen mit Ihrer Shopinstanz. Zu den gängigen Anfragen gehören:
- Akute Probleme, z.B. Fehlermeldungen im Shop bzw. Fehlfunktionen
- Hacker-Angriffe
- Updates und Upgrades
- Programmierung responsive Template
- Fragen zur Bedienung
- Weiterentwicklung von Plugins
Sie sind unzufrieden mit Ihrem aktuellen Magento-Support-Dienstleister? Sprechen Sie mit uns – gemeinsam finden wir eine Lösung für Ihren Online-Shop!
Magento-Sicherheitupdates
“Was kann schon passieren”?
Denn in der Praxis werden immer häufiger Angriffe auf Online-Shops bekannt. Die Angriffe zeichnen sich dadurch aus, dass Daten und Design des Online-Shops abgerufen und manipuliert werden. Häufig gehen die Hacker dabei sehr subtil vor, so dass es Ihnen möglicherweise zuerst gar nicht auffällt, sollte Ihr Online-Shop betroffen sein. Immer wieder werden unsere Web-Entwickler in Stuttgart, Heilbronn oder Heidelberg dann gerufen, wenn es eigentlich schon zu spät ist.
Was ist das Ziel von Hackern:
Zuallererst ist ein Grundverständnis darüber wichtig, was das eigentliche Ziel von Hackern ist. Denn entgegen der ersten Annahme ist es nicht das primäre Ziel Ihren Online-Shop so zu schädigen, dass dieser nicht mehr funktionsfähig ist. Vielmehr haben es Hacker auf die folgenden Ziel abgesehen:
- Bestelldaten
Nicht nur für die Konkurrenz ist es interessant, zu erfahren, welche Produkte wie gut verkauft werden. Durch die Zuordnung von Kunden zu den Bestellungen, bieten sich auch weitere Möglichkeiten wie bspw.: Phishing. - Logindaten
Gerade bei den Zugangsdaten ist das Thema sehr kritisch. Denn obwohl die Passwörter verschlüsselt sind, können Sie im Zweifel wieder entschlüsselt werden. Da Nutzer leider viel zu gerne das selbe Passwort für mehrere Online-Dienste nutzen, ist die Möglichkeit des Missbrauchs enorm. - Weiterleitung auf Fremdseiten
Nutzer können direkt auf eine fremde Seite weitergeleitet werden, die dann außerhalb Ihres Einflusses ist. Ob auf einen fremden Shop, ob auf eine Phishing-Seite, … - Integration von Schadcode
Prinzipiell können Hacker, die Adminberechtigung erlangt haben, auch fremden Code in Ihren Shop integrieren. Dies kann auch bedeuten, dass Passwörter Ihrer Kunden mitgeschrieben werden, Viren bei Nutzern installiert werden – oder dies zumindest versucht wird. - Integration von Links
Dabei werden beispielsweise im Templates des Shops SEO-Links auf fremde Angebot integriert. Dies fällt Ihnen vielleicht sogar einige Zeit gar nicht auf, kann aber zu einer Bestrafung Ihrer Sichtbarkeit bei Google führen.
Sicherheits-Gefahren für Ihren Online-Shop
Aus der Praxis lassen sich die folgenden Punkte ableiten, die Shopbetreiber bezüglich der Sicherheit Ihres Magento-Online-Shops beachten sollten:
1.: Ungepatchte Magento-Installation (fehlende Sicherheitsupdates)
Ihr Magento-Online-Shop sollte stets auf dem aktuellen Stand der Technik sein. Das bedeutet, Ihr Shop sollte
- die neuste Magento-Version installiert
- wichtige Sicherheitsupddates eingespielt
- (sichere PHP-Version nutzen)
Es gibt Anleitungen im Internet, die erklären, wie man bekannt gewordene Sicherheitslücken ausnutzen kann. Diese sogenannten Exploits werden von Hackern erstellt und dienen wiederum anderen Hackern als Grundlage für Ihre Angriffe.
2.: Unzureichend geschützter Admin-Bereich
Der Adminbereich sollte nicht über die folgenden URLs erreichbar sein:
- http://www.meinshop.de/admin/
Es gibt die Möglichkeit, hier eine anderslautende URL zu wählen.
Ergänzend gilt, dass der Benutzername “admin” nicht allzu sicher ist und dass selbstverständlich kein zu schwaches Passwort gewählt werden sollte. Haben Hacker erst Zugriff auf das System, sind die Auswirkungen und die Aufwände für die Behebung enorm.
3.: Fehlende Verschlüsselung im Online-Shop
Für Online-Shops empfiehlt sich die Verschlüsselung der Verbindung per SSL. Dabei werden Daten zwischen Nutzern und dem Shop verschlüsselt übertragen. Das macht den Online-Shop für Hacker schwerer angreifbar.
4.: Unnötige Extensions entfernen/deaktivieren
Sicherheitslücken in Extensions (Magento-Erweiterungen) sind häufig nicht so gravierend – sie sind aber leider auch nicht so stark im Fokus der Community oder des jeweiligen Entwicklers. Daher empfiehlt es sich, im Sinne der Risikominimierung, Extensions, die Sie nicht mehr benötigen, zu deaktivieren.
Was muss gemacht werden, wenn Ihr Online-Shop infiziert wurde
Sollte Ihr Online-Shop doch gehackt sein, gibt es einige essentielle Empfehlungen quasi als “Erste Hilfe”:
- Zuerst sollte der Online-Shop vom Netz genommen werden
- die Zugangsdaten/Kennwörter (FTP, Datenbank und für den Zugriff auf den Server) müssen geändert werden
- die Backendnutzer sollten auf Änderungen oder unbekannte Nutzer geprüft werden
Spätestens dann sollten Sie uns kontaktieren, damit wir in der Tiefe des Shops mit der Bereinigung beginnen können
- die Datenbank sollte analysiert werden
- die Magento-System-Dateien sowie die Templates solten analysiert werden, um möglichen Schadcode zu eliminieren
- notwendige Sicherheitsupdate des Shops müssen eingespielt werden