In recent onderzoek, uitgevoerd door hostingbedrijf Byte onder 216.394 Magento webshops wereldwijd, blijkt dat het merendeel van deze shops de basisveiligheid niet op orde heeft. Het gaat om veiligheidslekken waar Magento de afgelopen maanden voor heeft gewaarschuwd. De veiligheidslekken lijken niet de interesse van de shopeigenaren of -bouwers te hebben maar wel van de hackers. Het aantal hackpogingen om op shops in te breken is namelijk enorm. Ter illustratie: wekelijks worden er alleen al op de Magento servers van Byte 19.000 hackpogingen op deze veiligheidslekken afgeweerd. De interesse van hackers is natuurlijk niet voor niets, want inbreken op webshops betekent toegang tot de klantgegevens en de mogelijkheid om betalingen om te leiden. In reactie op het onderzoek heeft Ted Pietrzak, Senior Director Product Development van Magento, aangegeven maatregelen te treffen door het patchen van een shop gemakkelijker te maken. Pietrzak raadt shopeigenaren aan op magereport.com te checken of hun site de basisveiligheid op orde heeft.
Basisveiligheid ook bij 59% grote shops in gevaar
Tot de basisveiligheidsmaatregelen van webshops behoren het installeren van uitgebrachte patches om veiligheidslekken te dichten en het up-to-date houden van software. Magento heeft het dit jaar vier belangrijke veiligheidspatches uitgerold, genaamd SUPEE 5344, SUPEE 5994, SUPEE 6285 en SUPEE 6482. “Maar tot onze verbazing zijn die nog nauwelijks geïnstalleerd. En dat geldt niet alleen voor kleine shops, maar zeker ook voor grote shops met een jaaromzet boven 100.000euro.” aldus Willem de Groot van Byte.
Risico voor shop en voor bezoeker!
Gehackt worden betekent voor een shopeigenaar meestal direct inkomstenverlies indien betalingen worden omgeleid en te betalen schadeclaims, maar ook indirect door angst van bezoekers die niet meer durven te bestellen en door slechtere site performance omdat de site wordt toegevoegd aan SPAM lijsten. Voor de bezoeker is het natuurlijk niet niks als klant- en betalingsgegevens bij kwaadwillenden in handen komen. Afgelopen februari is het eerste Magento veiligheidslek aan het licht gekomen. Diverse shops werden gehackt, zoals ook bijv. de bekendste Britse theehuisketen
Bettys Tea Room
Snelle check
Dat de patches nog nauwelijks zijn geïnstalleerd kan komen omdat de shopeigenaren de urgentie niet inzien, maar ook omdat het niet altijd eenvoudig is. Bij het installeren van de patches moeten diverse stappen worden doorlopen. Door een stap over te slaan kan de indruk ontstaan dat de patch is geïnstalleerd terwijl hij nog geen bescherming biedt. Magento onderkent het probleem en heeft aangekondigd maatregelen te treffen: “
Patch updating is a nuanced process, particularly with the high-level of customization that merchants implement in order to create uniquely branded customer experiences with Magento. We are working to further simplify the download process for all versions by making patches more easily available for automated downloads.”, aldus Ted Pietrzak, Senior Director Product Development van Magento.
Op
magereport.com kan men snel en eenvoudig checken of de shop daadwerkelijk veilig is. Pietrzak: “
Magereport.com is a great community resource which lets clients run tests on their website and gives an instant overview of which patches have not been applied or where there is uncertainty.”
Over Magento en veiligheidspatches
Magento is het grootste e-commerce platform wereldwijd, met meer dan 270.000 winkels (13.000 in Nederland). Wanneer er een veiligheidslek ontdekt wordt, brengt Magento hiervoor een patch uit, waarmee het lek gedicht wordt. Magento gebruikers dienen deze patch zelf te installeren op hun webshop. Magento informeert haar gebruikers eenmalig per mail met de oproep de patch z.s.m. te installeren.
Over Byte
Byte is marktleider Magento hosting in de Benelux en helpt winkeleigenaren en ontwikkelaars om snelle, veilige en succesvolle webshops te maken en bereikbaar te houden. Byte werkt samen met Magento en met professionele e-commerce bureaus. Uit deze samenwerking is onder andere Magereport.com ontstaan: een site waar eigenaren en beheerders van Magento webshops hun webshop kunnen controleren op allerlei veiligheidschecks. Naast alle uitgebrachte Magento patches wordt de shop ook gescanned op onveilige modules, onveilige folders, of de server up-to-date is en meer.