Magento Sicherheit

Sicherheit für Open Source Magento Shops.

Sie sind auf einer alten Website gelandet. Das neue Angebot Website Security und Webseiten Sicherheit finden Sie auf unserer neuen Website, hier.

Gestohlene Kundendaten, unerreichbare Shops, Erpressungen – die Liste der potentiellen Angriffe auf Magento-Shops ist lang. Marc Dornieden berichtet aus seiner achtjährigen Erfahrung mit Magento von erfolgreichen und versuchten Angriffen, von Sicherheitslücken und sonstigen Risiken. Erfahren Sie, was Sie als Shopbetreiber tun können und tun sollten, um Ihren Shop gegen Angriffe aller Art zu schützen. Durch unsere langjährige Arbeit mit Magento und durch die von uns angebotenen Magento-Audits haben wir inzwischen bei einer Vielzahl von Shops "hinter die Kulissen" blicken können. Leider muss man hier feststellen - und dies ist aus unserer Erfahrung kein ausschließliches Magento-Problem - dass es mitunter gravierende Qualitätsunterschiede bei der Implementierung gibt. Es kann mitunter beim initialen Projekt-Setup natürlich einfacher und auch kostengünstiger sein, eine "Quick-and-Dirty-Variante" für die Implementierung zu wählen und beispielsweise sog. Core-Hacks anzuwenden, bei denen der Programmkern - quasi das Herz der Software - verändert wird. Ist dies der Fall, können im Worst-Case etwaige Updates oder Patches nicht mehr oder nur mit extrem hohem Aufwand durchgeführt werden. In solchen Fällen scheuen sich Shop-Betreiber dann schon mal vor den Kosten und belassen den Status-Quo. Solange dies gut geht, mag das okay sein, in Fällen wie dem jetzt nochmals aufgetauchten kann dieser Schuss aber auch nach hinten losgehen.

Tipps zum Schutz von CMS Systemen wie Magento

Sicherheit für Ihren Magento Shop und Ihre Kundendaten

Lästig, aber nötig: die Beschäftigung mit dem Thema Sicherheit als Shop-Betreiber. Wie nötig, zeigt die letzte Welle von Angriffen auf – nicht gut abgesicherte und schlecht gepflegte – Magento-Shops. Wir zeigen Ihnen in diesem Artikel, wie Sie Ihren Magento-Shop sicher machen und schnell prüfen können, ob Ihr Shop sicher ist.

So sorgen wir für Sicherheit Ihres Magento-Shops

Damit Sie vor derartigen Unbillen verschont bleiben, gilt es, die Bedrohungspotenziale zu kennen und die richtigen Maßnahmen zu ergreifen.

  • Systeme aktuell halten, also regelmäßige „Updates“ durchführen
  • Grundlegende Absicherung der Systeme vornehmen
  • Kontrolle und kontinuierliche Information
  • Plan in der Schublade für den Desaster-Fall
  • Web application Firewall
  • 2 Faktor Authentifizierung
  • Kompletter Schutz (Auch Zero Day)

    Wir helfen bei der Magento Sicherheit

    Wissen Sie aktuell Bescheid über Ihren Magento-Shop? Ob er gut abgesichert ist oder ob potenzielle Sicherheitslücken vorhanden sind? Ob es Maßnahmen gibt, die unbedingt ergriffen werden sollten? Wenn nicht, dann sind Sie jetzt kurz davor, denn zum Glück gibt es ein sehr einfach zu bedienendes Tool: MageReport. Dieses gibt Ihnen im Handumdrehen einen schnellen und leicht verständlichen Überblick über den Zustand Ihres Magento-Systems.

  • Rufen Sie https://www.magereport.com auf
  • Geben Sie im Feld Shop-URL die Internet-Adresse Ihres Shops ein und klicken Sie Scan.
  • Nach kurzer Zeit erscheint eine Übersicht über geprüfte Komponenten und ggf. gefundene Probleme, zusammen mit einer Risikoeinstufung („Risk Level“).

    Regelmäßige Kontrollen des Magento Shop

    Die grundlegende Absicherung für Ihre Magento Sicherheit ist die Basis für den sicheren Betrieb. Damit ist es aber nicht getan, denn Ihre Magento Systeme und der Server verändern sich fortlaufend durch viele Faktoren: Updates, Patches, Zugriffe von Benutzern, neue Zugriffskonten, hochgeladene Daten usw. Wenn Sie über wenig technisches Knowhow verfügen, überlassen Sie Janotta & Partner die regelmäßige Prüfung von Serverprotokollen, Dateisystem und Benutzerdatenbank, um verdächtiges Verhalten frühzeitig zu erkennen.



    Sie selbst können im Magento-Backend von Zeit zu Zeit prüfen, ob alle berechtigten Benutzer noch den aktuellen Anforderungen entsprechen. Überflüssige Benutzer sollten Sie entfernen. Zudem sollten Sie sich regelmäßig über Updates und Sicherheitspatches für Magento informieren.

    MSS Managed Security Services für Magento

    Magento wird gehackt, was nun?

    Für den Fall, dass Sie trotz guter Absicherung zum Opfer von Angriffen werden, sollten Sie in einer ruhigen Minute zusammen mit Ihrem Team und Ihrem Provider einen Maßnahmenplan erstellen. Denn wenn erst einmal ein Hacker zugeschlagen hat, ist Eile und gezieltes Handeln geboten. Ohne einen fertigen Plan jedoch kann es schnell zu übereilten und unzureichenden Maßnahmen kommen.

    Hier einige Aspekte, die Sie in Ihrem Plan bedenken sollten:

  • Nehmen Sie nach einem Angriff die Website umgehend vom Netz, so dass keine weiteren Zugriffe mehr erfolgen können.
  • Sichern Sie den gesamten aktuellen Stand als Komplettbackup für spätere forensische Analysen, aber auch um Bewegungsdaten wiederherstellen zu können.
  • Lassen Sie von Spezialisten ermitteln, welchen Umfang der Angriff hatte, welcher Schaden entstanden ist und welcher Angriffspfad (Lücke) genutzt wurde.
  • Erstellen Sie eine neue, saubere Installation – zum Beispiel durch Rücksichern eines sauberen Backups. Die Kollegen von Hypernode haben einen umfassenden Leitfaden für das Wiederherstellen gehackter Magento-Shops zusammengestellt.
  • Aktualisieren Sie die gesamte Technik, soweit erforderlich und spielen Sie alle verfügbaren Sicherheitspatches ein.
  • Informieren Sie ggf. Kunden sowie Drittanbieter wie z.B. die Payment Service Provider.

    Einen gehackten Magento Shop melden

    Web application Firewall für Magento Sicherheit

    Die Janotta und Partner Web application Firewall für Magento, untersucht alle eingehenden Anfragen und die Antworten des Web-Servers. Bei verdächtigen Inhalten wird der Zugriff unterbunden. Zur Klassifizierung gefährlicher oder verbotener Aktionen wird häufig in einer vorgeschalteten Lernphase ein Application Security Scanner eingesetzt. Dieser analysiert, oft im Dialog mit einem Nutzer, die Anwendung und erzeugt daraus Profile für zulässige Aktionen. Alternativ werden durch eine Art Crawler oder auch Application Security Scanner die Webseiten der Webapplikation angesteuert und enthaltene Formularfelder durchprobiert. Die Applikation läuft in dem Fall in einer Art passivem Modus, das heißt, erlaubte und nicht erlaubte Eingaben werden in einer Logdatei festgehalten.

    Sicherheit für Magento eShop und CMS Systeme

    Sind beispielsweise zwei Parameter für ein untersuchtes Formular definiert, kann die J&P WAF alle Requests blockieren, die drei oder mehr Parameter enthalten. Ebenso kann die Länge und der Inhalt der Parameter geprüft werden. Allein durch die Spezifikation allgemeiner Regeln über die Parameter-Beschaffenheit, z. B. der maximalen Länge und des erlaubten Wertebereichs, können viele Angriffe verhindert oder für den Angreifer erschwert werden.

    Der Schutz für Ihren Magento Shop




  • Magento Sicherheit mit Janotta und Partner






    Cybersicherheit von Experten

    Janotta und Partner ist ein deutsches Fachberatungs- und Durchführungsunternehmen für zuverlässige IT-Sicherheit. Seit nunmehr 17 Jahren ist unsere Geschichte ein Spiegel der Arbeit von Menschen verschiedenster Tätigkeiten, Aufgaben und Kompetenzen unter anderem auch im Open Source Bereich. Mit dem stetigen Wandel in einer der Innovationsbranchen unserer Zeit, sind wir durch unsere Zielstrebigkeit und unseren Ehrgeiz gewachsen und sind heute ein Unternehmen das in die Zukunft geht. Die Werte, eines ehemals als Familienbetrieb gegründeten Unternehmens, mit hoher Wertschätzung und Dienstleistungsbereitschaft fordern den engen Dialog mit unseren Kunden – Unternehmen, Behörden und Organisationen.

    Janotta und Partner steht für zuverlässige Cybersicherheit die auf den Bedarf des Kunden zugeschnitten ist. Hochsichere Produkte und fortschrittliche IT-Sicherheitslösungen nach neuestem Stand, sind bei Janotta und Partner selbstverständlich. Wir sichern IT-Infrastrukturen unserer Kunden nicht nur ab, sondern erzielen auch intelligente Prozessoptimierungen. Janotta und Partner ist ein Dienstleister für IT-Sicherheit.

    Unsere Kunden kommen aus Deutschland, Österreich und der Schweiz.