Gebruik Magento patches en geef hackers geen kans

patches_large

De veiligheid van Magento webshops staat op dit moment in de schijnwerpers. Laatst bleek dat er schadelijke Magento plug-ins opdoken die betalingsgegevens zouden onderscheppen. In februari werd bekend gemaakt dat er een groot lek was ontdekt in de Magento software. Magento heeft dit allemaal netjes opgelost aan de hand van patches die deze lekken dichten. Webshopeigenaren hoeven zicht geen zorgen te maken over de veiligheid van hun webwinkel, zo lang ze maar de patches gebruiken. Onderzoek van Emerce wijst echter uit dat veel webshopeigenaren deze patches helemaal niet hebben geïmplementeerd. 

Shoplift

In februari maakte Magento bekend een ernstig lek, genaamd Shoplift, in haar software te hebben gevonden. Aan de hand van een patch, een ‘pleister’, is dit lek echter weer gedicht. Omdat Magento dit niet nogmaals wilde meemaken, is het softwareconcern proactiever geworden in het opsporen van lekken. Programmeurs worden nu uitgenodigd om Magento lekken op te sporen en krijgen in ruil daarvoor een beloning. Nadien zijn er meerdere lekken gevonden en vervolgens weer opgelost. De volgende lekken zijn dit jaar ontdekt:

 

Patch Datum Bedreiging Ernst
SUPEE 5344 9 februari Shoplift lek. Mogelijkheid om gehele webshopbeheer over te nemen. +++
SUPEE 5994 14 mei Mogelijkheid om URL van de backend (/admin) te achterhalen. Brute Force aanvallen worden hierdoor makkelijker. +
SUPEE 6285 7 juli Mogelijkheid om klantsessies over te nemen en besteldetails te downloaden. +++
SUPEE 6482 4 augustus Mogelijkheid om klantsessies over te nemen. +++

 

Slechte implementatie van de security patches bij webshops

Als Magento patches ontwikkelt om de veiligheid weer te herstellen, is het aan de gebruikers om deze voor hun webshop te implementeren. Veel webshopeigenaren doen dit echter niet. Onderzoek van Emerce wees uit dat dit voor zowel de gratis Community editie als de Enterprise editie geldt. Natuurlijk brengt dit ook risico’s met zich mee. Waarom doen webshopeigenaren dit niet? Heel simpel; ze willen of kunnen het niet. Het implementeren van patches kan heel wat tijd in beslag nemen en niet iedereen heeft genoeg kennis van Magento om dit in de backend aan te passen. Men verkiest liever om risico te lopen dan om de moeite te nemen. Maar wat als het fout gaat?

Sition helpt!

Je kunt eenvoudig met MageReport je webshop testen en kijken of deze alle patches bevat. Bevatten ze alle patches? Dan hoef jij je geen zorgen te maken! Moet je patches installeren maar weet je niet hoe? Sition helpt je! Wij implementeren de patches voor je. Bel 073-711033 of mail naar info@sition.nl als je meer Magento hulp nodig hebt.

Recent Posts