So können Shopbetreiber die Sicherheit ihres Magento-Shops mit dem Security Scanner prüfen
Für Shopbetreiber kann es schwierig sein, den Überblick über den aktuellen Sicherheitsstatus ihres Magento-Shops zu behalten. Es stellen sich im laufenden Betrieb viele Fragen zur Magento Sicherheit:
Habe ich aktuell Sicherheitslücken in meinem Magento-Shop?
Gibt es Sicherheitspatches, die noch eingespielt werden müssen?
Ist mein Shop eventuell schon kompromittiert worden?
Besteht generell dringender Handlungsbedarf, oder ist alles “im grünen Bereich”?
Mit dem Magento Security Scanner stellt der Shopsoftware-Hersteller nun ein kostenfreies Prüf-Tool zur Verfügung, welches Shopbetreiber selbst einrichten können, um die Magento Sicherheit fortlaufend automatisch überwachen zu lassen. Es ist eine offizielle Alternative zum seit mehreren Jahren verfügbaren magereport.com, mit erweiterten Analysemöglichkeiten.
Wie jede komplexe Software ist auch ein Magento-Shop anfällig für Sicherheitslücken. Probleme mit der Sicherheit können entstehen durch
Mängel in der Software selbst
eine fehlerhafte Konfiguration des Shopsystems, des Servers und/oder der darauf betriebenen Dienste wie Apache, MySQL, Redis usw.
Um Software-seitige Probleme zu beheben, stellt Magento bei Bekanntwerden neuer Sicherheitslücken kurzfristig Fehlerbehebungen in Form von Security-Patches zur Verfügung. Mit diesen Mini-Updates lassen sich die Lücken schließen. Neue Patches erscheinen mehrmals pro Jahr und werden über das Security Center von Magento und per E-Mail bekanntgegeben.
Der Magento Security Scanner
Um Shopbetreiber der Notwendigkeit zu entheben, regelmäßig prüfen zu müssen, ob es neue Updates gibt, ob diese schon eingerichtet wurden und ob weitere Bedrohungen für den Shop existieren, hat Magento das kostenfreie Magento Security Scan Tool veröffentlicht.Dieses überwacht vollautomatisch den Magento-Shop und benachrichtigt per E-Mail, sobald Security-Patches fehlen oder Sicherheitslücken geschlossen werden müssen.Zitat Magento: “Monitor your sites for security risks, update malware patches, and detect unauthorized access with Magento Security Scan, the latest FREE tool from Magento Commerce.”Die Funktionsweise des Magento Security Scanners ist einfach:
Als Shopbetreiber benötigt man ein kostenfreies Konto auf magento.com
Im Konto kann man dann im Menüpunkt Security Scan seine(n) Shop(s) registrieren. Diese Prozedur ist weiter unten beschrieben. Es werden sowohl Magento 1 wie auch Magento 2 Systeme unterstützt.
Im vorgegebenen Prüfintervall checkt der Scanner den/die Shop(s) und meldet Probleme per E-Mail
Mit dem Magento Security Scanner können Shopbetreiber mehrere Shops gleichzeitig auf Sicherheitsaspekte hin überwachen lassen.
Magento Security Scan Tool einrichten – Schritt für Schritt
Erstellen Sie, sofern noch nicht geschehen, ein Konto unter https://account.magento.com. Dies ist kostenfrei und unverbindlich.
Loggen Sie sich auf der Magento-Site ein.
Wechseln Sie in den Menüpunkt Security Scan und klicken Sie dann auf den Button Go to Security Scan.
Auf der Hauptseite Monitored Websites klicken Sie auf Add Website, um Ihren Magento-Shop zu registrieren.
Site URL: Geben Sie die Internetadresse Ihres Magento-Shops ein.
Sitename: Geben Sie eine Bezeichnung für den Shop ein. Dies dient lediglich der Identifizierung in der Monitoring-Übersicht.Ein Shop wird zur Prüfung der Magento Sicherheit über eine simple Definition zugefügt. Die hinterlegte URL muss im Magento-Shop überprüft werden.
Kopieren Sie den angezeigten Confirmation Code und fügen Sie diesen im Footer Ihres Magento-Shops ein. Dies ist erforderlich, damit das Scan Tool den angegebenen Shop als den Ihren identifizieren kann.
So gehen Sie vor:Magento 1 Backend: Wählen Sie System > Allgemein > Design > Footer. Fügen Sie den Code dem Footer hinzu. Speichern Sie die Einstellung und leeren Sie den Magento-Cache.Magento 2 Backend: Wählen Sie Content > Design > Konfiguration. Klicken Sie in der Zeile für die Website in der Spalte Action auf Edit. Fügen Sie den Code dem Footer hinzu. Speichern Sie die Einstellung und leeren Sie den Magento-Cache.
Wählen Sie unter Set Automatic Security Scan das gewünschte Prüfintervall. Möglich sind wöchentlich (empfohlen), täglich oder aber deaktiviert.
Geben Sie die Mailadresse ein, an die Sie über die Prüfergebnisse informiert werden möchten.
Klicken Sie Submit, um die Shop-Registrierung abzuschließen und den Scanner zu aktivieren.
Klicken Sie in der Übersichtsseite auf View Report, um sich die Ergebnisse des Scans anzusehen. Dort können Sie sich den Bericht auch als PDF-Datei herunterladen und sich historische Reports ansehen.
Shopbetreiber können die Magento Sicherheit mit dem Security Scanner anhand detaillierter Berichte überwachen lassen. Diese werden täglich oder wöchentlich automatisch generiert.
Tipp: Eine detaillierte und bebilderte Anleitung zum Download finden Sie auf dem Reiter Security Scan in Ihrem Magento-Konto.
Welche Sicherheitsprüfungen werden durchgeführt?
Das Magento Security Scan Tool prüft mehr als 30 Punkte. Diese betreffen die Bereiche
Installierte und fehlende Sicherheits-Patches
Installierte und fehlende Updates
Die Berücksichtigung von Best Practices im Hinblick auf Security
Kompromittierungen des Systems, so kann der Scanner beispielsweise feststellen, ob der Shop von der Visbot-Malware betroffen ist
Konfiguration der Shop-Umgebung
Zu den Prüfungen der Konfiguration gehören unter anderem diese Punkte:
Wurde der Download-Ordner umbenannt
Wurde die Backend-URL umbenannt
Wird durchgängig SSL verwendet
Sind wichtige Verzeichnisse und Dateien (z.B. app/etc/local.xml) korrekt abgesichert
Welche Einschränkungen gibt es?
Wichtig zu wissen: Die Funktionsweise des Scanners schränkt seine “Sicht” auf das geprüfte Magentosystem ein. Das Scan Tool ruft die offizielle URL des Shops ab und sucht nach bestimmten, von außen öffentlich zugänglichen Dateien. Diese werden vom Tool geprüft und die Ergebnisse interpretiert. Für sämtliche Dateien und ihre Inhalte, die außerhalb des öffentlichen Zugriffs liegen (und liegen müssen), ist der Scanner “blind”.Dies hat Konsequenzen für den Umfang und die Güte einiger Informationen, die das Tool liefert. Eine Reihe von Dingen bleiben daher im Dunklen. So kann es passieren, dass ein schon installierter Patch als fehlend gemeldet wird.Weitere mögliche Ursache für Falschmeldungen: Um die Security Best Practices zu befolgen, verändern Systemadministratoren verschiedene zentrale URLs, z.B. die Adresse des Backends. Dadurch kann der Scanner nicht überprüfen, ob diese veränderte URL mit SSL ausgestattet ist, was zu einer entsprechenden Meldung des Tools führt.Übrigens wird Magento in Kürze als Option einen SSH-basierten Check einführen, der die oben beschriebenen Nachteile eliminiert, weil das Scan Tool dann “alles” sehen kann, was relevant ist.
Fazit? Empfohlen!
Das Scan Tool liefert Shopbetreibern wichtige Hinweise. Vor allem Meldungen über fehlende Patches und etwaige Kompromittierungen sollten Betreiber ernst nehmen.Um die Dringlichkeit besser zu beurteilen, stuft das Tool die Ergebnisse in entsprechende Schweregrade von Low über Mid zu High ein, und zwar sowohl auf Ebene einzelner Incidents als auch für den Shop insgesamt.Vor dem Hintergrund der genannten Einschränkungen müssen Shopbetreiber jedoch mit der einen oder anderen Falschmeldung rechnen, die für alle Fälle aber von einem kundigen Magento-Spezialisten abgeprüft werden sollte.Wichtig ist und bleibt trotz des Tools: Shopbetreiber sollten zusammen mit ihrem Administrator oder ihrer Magento-Agentur dafür sorgen, dass die Magento Security Best Practices strikt befolgt werden. Dabei handelt es sich um eine Empfehlung vor allem im Hinblick auf korrekte Konfiguration des Gesamtsystems. Wer sich als Magento-Shopbetreiber dem Thema Shop-Sicherheit allgemeinverständlich annähern möchte, findet im interSales Blog einen Einführungs-Artikel zur Magento-Sicherheit.
Kostenlose Analyse
Völlig unverbindlich analysieren wir gerne Ihren Magento-Shop auf Schwachstellen und unterziehen den Sicherheitszustand einer gründlichen Prüfung. Wir sind Ihre erfahrene Magento Agentur – sprechen Sie uns an!
Das sagen Kunden, mit denen
wir digitale Wege erfolgreich beschreiten.
Individuell entwickelte E-Commerce Lösungen für komplexe Herausforderungen mit speziellen Zielgruppen zeichnen die interSales AG aus. Ob langfristige Projekte oder Alltagsprobleme - vom Projektmanagement bis zum Geschäftsführer kümmern sich alle Ansprechpartner schnell um die passende Lösung für Ihre Kunden. In Kombination mit zuverlässiger Kommunikation in jeder Situation entsteht eine langjährige Partnerschaft auf Augenhöhe, die stets die besten Ergebnisse im Sinn hat.
Mit der interSales gewinnen Sie nicht nur eine technisch sehr versierte und sichere E-Commerce Agentur, sondern auch einen Partner mit einem gut differenzierten Netzwerk rund um den Onlineshop, wie SEO, Conversionsoptimierung und Screendesign
interSales ist seit 22 Jahren unser Partner in vielen IT-Fragen und hat uns bei der Entwicklung unserer Websites und unseres Online-Shops bis heute begleitet. Wir schätzen die vertrauensvolle Zusammenarbeit und große Kompetenz unseres IT-Dienstleisters sehr.
Ein Kundenportal und damit der Einstieg in den B2B E-Commerce stand bei uns lange auf der Agenda und wurde aus Respekt vor der Komplexität der Schnittstellen immer wieder verschoben. Mit interSales haben wir einen Partner gefunden, der sich flexibel auf unsere IT-Umgebung angepasst und alle unsere Wünsche berücksichtigt hat. Die vertrauensvolle Zusammenarbeit werden wir in weiteren Ausbaustufen fortsetzen.
Bei inkodirekt.de leben wir ausschließlich vom Handel über das Internet. Wir sind dabei auf Experten angewiesen, die für uns die komplexe Technik betreuen und weiterentwickeln. Mit interSales haben wir einen Partner gefunden, dem wir vertrauen. Das sympathische Team unterstützt uns äußerst zuverlässig und schnell in allen E-Commerce-Themen. Wir schätzen die persönliche Betreuung ganz besonders.
Seit Anbeginn stand fest, dass wir für unseren Medizinprodukte-Handel einen Online-Shop brauchen. Weil unser Team klein ist, erschien uns der Aufbau eines Webshops aber langwierig und mühselig. Mit dem schlüsselfertigen Online-Shop von interSales stand unser digitaler Vertriebskanal im Handumdrehen. Mit wenig Arbeit akquirieren wir damit fast täglich neue Kunden und weiten unser Geschäft fast schon spielerisch aus. Wenn Sie einen Anbieter mit persönlicher Beratung, schnellem Service und einem modernen Shopsystem suchen, kann ich interSales nur empfehlen.
Die Zusammenarbeit mit einer Internet-Agentur ist für uns vor allem Vertrauenssache. Dies wissen wir aus leidvoller Erfahrung. Unser in interSales gesetztes Vertrauen hat sich gelohnt. Seitdem unser Kölner E-Commerce-Partner unseren Magento-Shop betreut, verzeichnen wir zweistellige Zuwachsraten, verbunden mit einer schnellen Umsetzung des Projektplanes. Wir freuen uns über den Erfolg - und die gemeinsame Zusammenarbeit auf Augenhöhe!
Noch Fragen?
Schreiben Sie uns eine Nachricht.
Wir melden uns so schnell wie möglich bei Ihnen zurück.