Für Shopbetreiber kann es schwierig sein, den Überblick über den aktuellen Sicherheitsstatus ihres Magento-Shops zu behalten. Es stellen sich im laufenden Betrieb viele Fragen zur Magento Sicherheit:

• Habe ich aktuell Sicherheitslücken in meinem Magento-Shop?
• Gibt es Sicherheitspatches, die noch eingespielt werden müssen?
• Weist meine technische Umgebung sicherheitsrelevante Konfigurationsprobleme auf?
• Ist mein Shop eventuell schon kompromittiert worden?
• Besteht generell dringender Handlungsbedarf, oder ist alles “im grünen Bereich”?

Mit dem Magento Security Scanner stellt der Shopsoftware-Hersteller nun ein kostenfreies Prüf-Tool zur Verfügung, welches Shopbetreiber selbst einrichten können, um die Magento Sicherheit fortlaufend automatisch überwachen zu lassen. Es ist eine offizielle Alternative zum seit mehreren Jahren verfügbaren magereport.com, mit erweiterten Analysemöglichkeiten.

Der Magento Security Scanner Um Shopbetreiber der Notwendigkeit zu entheben, regelmäßig prüfen zu müssen, ob es neue Updates gibt, ob diese schon eingerichtet wurden und ob weitere Bedrohungen für den Shop existieren, hat Magento das kostenfreie Magento Security Scan Tool veröffentlicht. Dieses überwacht vollautomatisch den Magento-Shop und benachrichtigt per E-Mail, sobald Security-Patches fehlen oder Sicherheitslücken geschlossen werden müssen. Zitat Magento: “Monitor your sites for security risks, update malware patches, and detect unauthorized access with Magento Security Scan, the latest FREE tool from Magento Commerce.” Die Funktionsweise des Magento Security Scanners ist einfach:

• Als Shopbetreiber benötigt man ein kostenfreies Konto auf magento.com
• Im Konto kann man dann im Menüpunkt Security Scan seine(n) Shop(s) registrieren. Diese Prozedur ist weiter unten beschrieben. Es werden sowohl Magento 1 wie auch Magento 2 Systeme unterstützt.
• Im vorgegebenen Prüfintervall checkt der Scanner den/die Shop(s) und meldet Probleme per E-Mail

1. Erstellen Sie, sofern noch nicht geschehen, ein Konto unter https://account.magento.com. Dies ist kostenfrei und unverbindlich.
2. Loggen Sie sich auf der Magento-Site ein.
3. Wechseln Sie in den Menüpunkt Security Scan und klicken Sie dann auf den Button Go to Security Scan.
4. Auf der Hauptseite Monitored Websites klicken Sie auf Add Website, um Ihren Magento-Shop zu registrieren.
5. Site URL: Geben Sie die Internetadresse Ihres Magento-Shops ein.
6. Sitename: Geben Sie eine Bezeichnung für den Shop ein. Dies dient lediglich der Identifizierung in der Monitoring-Übersicht.Magento Backend add site to security scan Ein Shop wird zur Prüfung der Magento Sicherheit über eine simple Definition zugefügt. Die hinterlegte URL muss im Magento-Shop überprüft werden.
7. Kopieren Sie den angezeigten Confirmation Code und fügen Sie diesen im Footer Ihres Magento-Shops ein. Dies ist erforderlich, damit das Scan Tool den angegebenen Shop als den Ihren identifizieren kann. So gehen Sie vor: Magento 1 Backend: Wählen Sie System > Allgemein > Design > Footer. Fügen Sie den Code dem Footer hinzu. Speichern Sie die Einstellung und leeren Sie den Magento-Cache. Magento 2 Backend: Wählen Sie Content > Design > Konfiguration. Klicken Sie in der Zeile für die Website in der Spalte Action auf Edit. Fügen Sie den Code dem Footer hinzu. Speichern Sie die Einstellung und leeren Sie den Magento-Cache.
8. Wählen Sie unter Set Automatic Security Scan das gewünschte Prüfintervall. Möglich sind wöchentlich (empfohlen), täglich oder aber deaktiviert.
9. Geben Sie die Mailadresse ein, an die Sie über die Prüfergebnisse informiert werden möchten.
10. Klicken Sie Submit, um die Shop-Registrierung abzuschließen und den Scanner zu aktivieren.
11. Klicken Sie in der Übersichtsseite auf View Report, um sich die Ergebnisse des Scans anzusehen. Dort können Sie sich den Bericht auch als PDF-Datei herunterladen und sich historische Reports ansehen. Magento Backend security reports, Tech Resources Shopbetreiber können die Magento Sicherheit mit dem Security Scanner anhand detaillierter Berichte überwachen lassen. Diese werden täglich oder wöchentlich automatisch generiert.

Tipp: Eine detaillierte und bebilderte Anleitung zum Download finden Sie auf dem Reiter Security Scan in Ihrem Magento-Konto.

Das Magento Security Scan Tool prüft mehr als 30 Punkte. Diese betreffen die Bereiche

• Installierte und fehlende Sicherheits-Patches
• Installierte und fehlende Updates
• Die Berücksichtigung von Best Practices im Hinblick auf Security
• Kompromittierungen des Systems, so kann der Scanner beispielsweise feststellen, ob der Shop von der Visbot-Malware betroffen ist
• Konfiguration der Shop-Umgebung

Zu den Prüfungen der Konfiguration gehören unter anderem diese Punkte:

• Wurde der Download-Ordner umbenannt
• Wurde die Backend-URL umbenannt
• Wird durchgängig SSL verwendet Sind wichtige Verzeichnisse und Dateien (z.B. app/etc/local.xml) korrekt abgesichert

Wichtig zu wissen: Die Funktionsweise des Scanners schränkt seine “Sicht” auf das geprüfte Magentosystem ein. Das Scan Tool ruft die offizielle URL des Shops ab und sucht nach bestimmten, von außen öffentlich zugänglichen Dateien. Diese werden vom Tool geprüft und die Ergebnisse interpretiert. Für sämtliche Dateien und ihre Inhalte, die außerhalb des öffentlichen Zugriffs liegen (und liegen müssen), ist der Scanner “blind”. Dies hat Konsequenzen für den Umfang und die Güte einiger Informationen, die das Tool liefert. Eine Reihe von Dingen bleiben daher im Dunklen. So kann es passieren, dass ein schon installierter Patch als fehlend gemeldet wird. Weitere mögliche Ursache für Falschmeldungen: Um die Security Best Practices zu befolgen, verändern Systemadministratoren verschiedene zentrale URLs, z.B. die Adresse des Backends. Dadurch kann der Scanner nicht überprüfen, ob diese veränderte URL mit SSL ausgestattet ist, was zu einer entsprechenden Meldung des Tools führt. Übrigens wird Magento in Kürze als Option einen SSH-basierten Check einführen, der die oben beschriebenen Nachteile eliminiert, weil das Scan Tool dann “alles” sehen kann, was relevant ist.