So können Shopbetreiber die Sicherheit ihres Magento-Shops mit dem Security Scanner prüfen

Für Shopbetreiber kann es schwierig sein, den Überblick über den aktuellen Sicherheitsstatus ihres Magento-Shops zu behalten. Es stellen sich im laufenden Betrieb viele Fragen zur Magento Sicherheit:

  • Habe ich aktuell Sicherheitslücken in meinem Magento-Shop?
  • Gibt es Sicherheitspatches, die noch eingespielt werden müssen?
  • Weist meine technische Umgebung sicherheitsrelevante Konfigurationsprobleme auf?
  • Ist mein Shop eventuell schon kompromittiert worden?
  • Besteht generell dringender Handlungsbedarf, oder ist alles “im grünen Bereich”?

Mit dem Magento Security Scanner stellt der Shopsoftware-Hersteller nun ein kostenfreies Prüf-Tool zur Verfügung, welches Shopbetreiber selbst einrichten können, um die Magento Sicherheit fortlaufend automatisch überwachen zu lassen. Es ist eine offizielle Alternative zum seit mehreren Jahren verfügbaren magereport.com, mit erweiterten Analysemöglichkeiten.

Sicherheit als Daueraufgabe

Wie jede komplexe Software ist auch ein Magento-Shop anfällig für Sicherheitslücken. Probleme mit der Sicherheit können entstehen durch

  • Mängel in der Software selbst
  • eine fehlerhafte Konfiguration des Shopsystems, des Servers und/oder der darauf betriebenen Dienste wie Apache, MySQL, Redis usw.

Um Software-seitige Probleme zu beheben, stellt Magento bei Bekanntwerden neuer Sicherheitslücken kurzfristig Fehlerbehebungen in Form von Security-Patches zur Verfügung. Mit diesen Mini-Updates lassen sich die Lücken schließen. Neue Patches erscheinen mehrmals pro Jahr und werden über das Security Center von Magento und per E-Mail bekanntgegeben.

Der Magento Security Scanner

Um Shopbetreiber der Notwendigkeit zu entheben, regelmäßig prüfen zu müssen, ob es neue Updates gibt, ob diese schon eingerichtet wurden und ob weitere Bedrohungen für den Shop existieren, hat Magento das kostenfreie Magento Security Scan Tool veröffentlicht.

Dieses überwacht vollautomatisch den Magento-Shop und benachrichtigt per E-Mail, sobald Security-Patches fehlen oder Sicherheitslücken geschlossen werden müssen.

Zitat Magento: “Monitor your sites for security risks, update malware patches, and detect unauthorized access with Magento Security Scan, the latest FREE tool from Magento Commerce.”

Die Funktionsweise des Magento Security Scanners ist einfach:

  • Als Shopbetreiber benötigt man ein kostenfreies Konto auf magento.com
  • Im Konto kann man dann im Menüpunkt Security Scan seine(n) Shop(s) registrieren. Diese Prozedur ist weiter unten beschrieben. Es werden sowohl Magento 1 wie auch Magento 2 Systeme unterstützt.
  • Im vorgegebenen Prüfintervall checkt der Scanner den/die Shop(s) und meldet Probleme per E-Mail
Magento Security Scanner Dashboard Monitored Websites

Mit dem Magento Security Scanner können Shopbetreiber mehrere Shops gleichzeitig auf Sicherheitsaspekte hin überwachen lassen.

Magento Security Scan Tool einrichten – Schritt für Schritt

  1. Erstellen Sie, sofern noch nicht geschehen, ein Konto unter https://account.magento.com. Dies ist kostenfrei und unverbindlich.
  2. Loggen Sie sich auf der Magento-Site ein.
  3. Wechseln Sie in den Menüpunkt Security Scan und klicken Sie dann auf den Button Go to Security Scan.
  4. Auf der Hauptseite Monitored Websites klicken Sie auf Add Website, um Ihren Magento-Shop zu registrieren.
  5. Site URL: Geben Sie die Internetadresse Ihres Magento-Shops ein.
  6. Sitename: Geben Sie eine Bezeichnung für den Shop ein. Dies dient lediglich der Identifizierung in der Monitoring-Übersicht.

    Ein Shop wird zur Prüfung der Magento Sicherheit über eine simple Definition zugefügt. Die hinterlegte URL muss im Magento-Shop überprüft werden.

  7. Kopieren Sie den angezeigten Confirmation Code und fügen Sie diesen im Footer Ihres Magento-Shops ein. Dies ist erforderlich, damit das Scan Tool den angegebenen Shop als den Ihren identifizieren kann.
    So gehen Sie vor:

    Magento 1 Backend: Wählen Sie System > Allgemein > Design > Footer. Fügen Sie den Code dem Footer hinzu. Speichern Sie die Einstellung und leeren Sie den Magento-Cache.
    Magento 2 Backend: Wählen Sie Content > Design > Konfiguration. Klicken Sie in der Zeile für die Website in der Spalte Action auf Edit. Fügen Sie den Code dem Footer hinzu. Speichern Sie die Einstellung und leeren Sie den Magento-Cache.
  8. Wählen Sie unter Set Automatic Security Scan das gewünschte Prüfintervall. Möglich sind wöchentlich (empfohlen), täglich oder aber deaktiviert.
  9. Geben Sie die Mailadresse ein, an die Sie über die Prüfergebnisse informiert werden möchten.
  10. Klicken Sie Submit, um die Shop-Registrierung abzuschließen und den Scanner zu aktivieren.
  11. Klicken Sie in der Übersichtsseite auf View Report, um sich die Ergebnisse des Scans anzusehen. Dort können Sie sich den Bericht auch als PDF-Datei herunterladen und sich historische Reports ansehen.

Shopbetreiber können die Magento Sicherheit mit dem Security Scanner anhand detaillierter Berichte überwachen lassen. Diese werden täglich oder wöchentlich automatisch generiert.

Tipp: Eine detaillierte und bebilderte Anleitung zum Download finden Sie auf dem Reiter Security Scan in Ihrem Magento-Konto.

Welche Sicherheitsprüfungen werden durchgeführt?

Das Magento Security Scan Tool prüft mehr als 30 Punkte. Diese betreffen die Bereiche

  • Installierte und fehlende Sicherheits-Patches
  • Installierte und fehlende Updates
  • Die Berücksichtigung von Best Practices im Hinblick auf Security
  • Kompromittierungen des Systems, so kann der Scanner beispielsweise feststellen, ob der Shop von der Visbot-Malware betroffen ist
  • Konfiguration der Shop-Umgebung

Zu den Prüfungen der Konfiguration gehören unter anderem diese Punkte:

  • Wurde der Download-Ordner umbenannt
  • Wurde die Backend-URL umbenannt
  • Wird durchgängig SSL verwendet
  • Sind wichtige Verzeichnisse und Dateien (z.B. app/etc/local.xml) korrekt abgesichert

Welche Einschränkungen gibt es?

Wichtig zu wissen: Die Funktionsweise des Scanners schränkt seine “Sicht” auf das geprüfte Magentosystem ein. Das Scan Tool ruft die offizielle URL des Shops ab und sucht nach bestimmten, von außen öffentlich zugänglichen Dateien. Diese werden vom Tool geprüft und die Ergebnisse interpretiert. Für sämtliche Dateien und ihre Inhalte, die außerhalb des öffentlichen Zugriffs liegen (und liegen müssen), ist der Scanner “blind”.

Dies hat Konsequenzen für den Umfang und die Güte einiger Informationen, die das Tool liefert. Eine Reihe von Dingen bleiben daher im Dunklen. So kann es passieren, dass ein schon installierter Patch als fehlend gemeldet wird.

Weitere mögliche Ursache für Falschmeldungen: Um die Security Best Practices zu befolgen, verändern Systemadministratoren verschiedene zentrale URLs, z.B. die Adresse des Backends. Dadurch kann der Scanner nicht überprüfen, ob diese veränderte URL mit SSL ausgestattet ist, was zu einer entsprechenden Meldung des Tools führt.

Übrigens wird Magento in Kürze als Option einen SSH-basierten Check einführen, der die oben beschriebenen Nachteile eliminiert, weil das Scan Tool dann “alles” sehen kann, was relevant ist.

Fazit? Empfohlen!

Das Scan Tool  liefert Shopbetreibern wichtige Hinweise. Vor allem Meldungen über fehlende Patches und etwaige Kompromittierungen sollten Betreiber ernst nehmen.

Um die Dringlichkeit besser zu beurteilen, stuft das Tool die Ergebnisse in entsprechende Schweregrade von Low über Mid zu High ein, und zwar sowohl auf Ebene einzelner Incidents als auch für den Shop insgesamt.

Vor dem Hintergrund der genannten Einschränkungen müssen Shopbetreiber jedoch mit der einen oder anderen Falschmeldung rechnen, die für alle Fälle aber von einem kundigen Magento-Spezialisten abgeprüft werden sollte.

Wichtig ist und bleibt trotz des Tools: Shopbetreiber sollten zusammen mit ihrem Administrator oder ihrer Magento-Agentur dafür sorgen, dass die Magento Security Best Practices strikt befolgt werden. Dabei handelt es sich um eine Empfehlung vor allem im Hinblick auf korrekte Konfiguration des Gesamtsystems. Wer sich als Magento-Shopbetreiber dem Thema Shop-Sicherheit allgemeinverständlich annähern möchte, findet im interSales Blog einen Einführungs-Artikel zur Magento-Sicherheit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.