Blogbeitrag Magento

Magento-Sicherheitupdates – “Was kann schon passieren”?

Unser Special rund um neue Trends, Magento 2.0 und strategische Empfehlungen im Online-Handel – direkt von der führenden E-Commerce-Konferenz für Magento in Deutschland.

Auch wenn Magento-Sicherheitsupdates regelmäßig ausrollt – auf den Punkt gebracht könnte man kurz antworten: “Viel”! Was es zu beachten gilt – wir geben einen Überblick.

Denn in der Praxis werden immer häufiger Angriffe auf Online-Shops bekannt. Die Angriffe zeichnen sich dadurch aus, dass Daten und Design des Online-Shops manipuliert werden. Häufig gehen die Hacker dabei sehr subtil vor, so dass es Ihnen möglicherweise zuerst gar nicht auffällt, sollte Ihr Online-Shop betroffen sein. Die Gefahr und die Kosten sind dabei enorm:

154 Dollar kosten ein gestohlener Datensatz im Durchschnitt
– IBM-Studie “2015 Cost of Data Breach Study”

Was ist das Ziel von Hackern:

  • Bestelldaten
    Nicht nur für die Konkurrenz ist es interessant, zu erfahren, welche Produkte wie gut verkauft werden. Durch die Zuordnung von Kunden zu den Bestellungen, bieten sich auch weitere Möglichkeiten wie bspw.: Phishing.
  • Logindaten
    Gerade bei den Zugangsdaten ist das Thema sehr kritisch. Denn obwohl die Passwörter verschlüsselt sind, können Sie im Zweifel wieder entschlüsselt werden. Da Nutzer leider viel zu gerne das selbe Passwort für mehrere Online-Dienste nutzen, ist die Möglichkeit des Missbrauchs enorm.
  • Weiterleitung auf Fremdseiten
    Nutzer können direkt auf eine fremde Seite weitergeleitet werden, die dann außerhalb Ihres Einflusses ist. Ob auf einen fremden Shop, ob auf eine Phishing-Seite, …
  • Integration von Schadcode
    Prinzipiell können Hacker, die Adminberechtigung erlangt haben, auch fremden Code in Ihren Shop integrieren. Dies kann auch bedeuten, dass Passwörter Ihrer Kunden mitgeschrieben werden, Viren bei Nutzern installiert werden – oder dies zumindest versucht wird.
  • Integration von Links
    Dabei werden beispielsweise im Templates des Shops SEO-Links auf fremde Angebot integriert. Dies fällt Ihnen vielleicht sogar einige Zeit gar nicht auf, kann aber zu einer Bestrafung Ihrer Sichtbarkeit bei Google führen.

Sicherheits-Gefahren für Ihren Online-Shop

Aus der Praxis lassen sich die folgenden Punkte ableiten, die Shopbetreiber bezüglich der Sicherheit Ihres Magento-Online-Shops beachten sollten:

1.: Ungepachte Magento-Installation

Ihr Magento-Online-Shop sollte stets auf dem aktuellen Stand der Technik sein. Das bedeutet, Ihr Shop sollte

  • die neuste Magento-Version installiert
  • wichtige Sicherheitsupddates eingespielt
  • (sichere PHP-Version nutzen)

Es gibt Anleitungen im Internet, die erklären, wie man bekannt gewordene Sicherheitslücken ausnutzen kann. Diese sogenannten Exploits werden von Hackern erstellt und dienen wiederum anderen Hackern als Grundlage für Ihre Angriffe.

2.: Unzureichend geschützter Admin-Bereich

Der Adminbereich sollte nicht über die folgenden URLs erreichbar sein:

  • http://www.meinshop.de/admin/

Es gibt die Möglichkeit, hier eine anderslautende URL zu wählen.

Ergänzend gilt, dass der Benutzername “admin” nicht allzu sicher ist und dass selbstverständlich kein zu schwaches Passwort gewählt werden sollte. Haben Hacker erst Zugriff auf das System, sind die Auswirkungen und die Aufwände für die Behebung enorm.

3.: Fehlende Verschlüsselung im Online-Shop

Für Online-Shops empfiehlt sich die Verschlüsselung der Verbindung per SSL. Dabei werden Daten zwischen Nutzern und dem Shop verschlüsselt übertragen. Das macht den Online-Shop für Hacker schwerer angreifbar.

4.: Unnötige Extensions entfernen/deaktivieren

Sicherheitslücken in Extensions (Magento-Erweiterungen) sind häufig nicht so gravierend – sie sind aber leider auch nicht so stark im Fokus der Community oder des jeweiligen Entwicklers. Daher empfiehlt es sich, im Sinne der Risikominimierung, Extensions, die Sie nicht mehr  benötigen, zu deaktivieren.

Was muss gemacht werden, wenn Ihr Online-Shop infiziert wurde

Sollte Ihr Online-Shop doch gehackt sein, gibt es einige essentielle Empfehlungen quasi als “Erste Hilfe”:

    • Zuerst sollte der Online-Shop vom Netz genommen werden
    • die Zugangsdaten/Kennwörter (FTP, Datenbank und für den Zugriff auf den Server) müssen geändert werden
    • die Backendnutzer sollten auf Änderungen oder unbekannte Nutzer geprüft werden

Spätestens dann sollten Sie uns kontaktieren, damit wir in der Tiefe des Shops mit der Bereinigung beginnen können

    • die Datenbank sollte analysiert werden
    • die Magento-System-Dateien sowie die Templates solten analysiert werden, um möglichen Schadcode zu eliminieren
    • notwendige Sicherheitsupdate des Shops müssen eingespielt werden

Kostenfreies Tool zur Prüfung bekannter Sicherheitslücken

Mit wenig Aufwand lässt sich unter der folgenden URL der Shop kostenfrei prüfen.

www.magereport.com

Sollten Sie sich unsicher sein, ob Ihr Shop sicher ist, stehen wir Ihnen gerne zur Verfügung.

Diesen Beitrag bewerten

0 Kommentare

Dein Kommentar

Möchtest du mitdiskutieren?
Fühl dich frei, beizutragen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.