Het e-commerce systeem Magento is ideaal voor het beheren van een webshop. Wereldwijd zijn er ruim 200.000 Magento webshops. Schokkend is echter dat zo’n 80 procent van deze webshops niet veilig blijkt te zijn doordat niet alle veiligheidsupdates zijn doorgevoerd door de shopeigenaren. De aard van het gevaar: hackers kunnen zichzelf toegang verschaffen tot klantgegevens en/of betalingen omleiden. Als de veiligheidslekken zo’n impact hebben, waarom voeren de shopeigenaren dan de veiligheidsupdates niet uit?
Magento security patches
Afgelopen februari bracht Magento haar eerste echt serieuze veiligheidslek naar buiten, genaamd Shoplift. Veel shops zijn toen gehacked. Magento heeft hier haar securitypolicy op aangepast; vind je een serieus veiligheidslek in het systeem, dan ontvang je van Magento een financiële beloning.
Inmiddels zijn zo’n twintig lekken ontdekt, variërend van ‘zeer hypothetisch’ tot ‘groot gapend gat’. Magento heeft er direct patches (zie het ook echt als pleisters) voor beschikbaar gesteld en heeft al haar gebruikers daarover geïnformeerd. Het is aan de gebruikers om ze ook daadwerkelijk te implementeren op hun webshop.
De patches worden niet geïmplementeerd
‘Het is aan de gebruikers om ze ook daadwerkelijk te implementeren op hun webshop‘, daar gaat het mis … Als Magento hostingprovider zien wij dagelijks hackpogingen op de hierboven genoemde lekken. Alleen al in de afgelopen zeven dagen hebben we met onze eigen platformbeveiliging zo’n 19.000 hackpogingen afgeweerd.
Gelukkig maar, want een schrikbarend aantal webshops heeft nog niet alle patches geïmplementeerd. En omdat wij onze klanten er uitgebreid op wijzen, zal het percentage niet-gepatchte webshops wereldwijd nog veel hoger liggen. Wij deden we een test over alle 216.394 Magento webshops wereldwijd (met onderscheid tussen de gratis Community editie en de betaalde Enterprise editie), en het resultaat is zorgwekkend:
Shopeigenaren voeren dus niet alle security patches door, met alle risico’s van dien. Zelfs voor de Enterprise editie-gebruikers, waarbij je moet denken aan webshops met een jaarlijkse omzet van zo’n 100.000 euro, geldt dat meer dan de helft van de shops de laatste patch niet heeft doorgevoerd. En deze is toch al ruim een maand oud.
Waarom patchen shopeigenaren niet?
Logischerwijs kom je uit op twee mogelijke antwoorden: mensen kunnen het niet, of willen het niet.
Kunnen het niet? Dat is niet ondenkbaar:
- Om de patches te installeren moet je SSH toegang hebben en moet je je weg daarin enigszins weten te vinden. Niet alle hostingproviders bieden SSH toegang, en het is ook zeker geen eenvoudige klus. Dit is een veel gehoorde klacht.
- Het installeren van een patch is sowieso best complex. Je moet de patch niet alleen installeren, maar je moet ook verschillende delen uit je applicatiestack opnieuw opstarten of legen. Denk aan de “Magento compilatie”, opcode cache, PHP en eventueel de block cache. Doe je dat niet, dan lijkt je de patch te hebben geïmplementeerd, maar doet hij helemaal niets.
- Het installeren van een patch is vrij arbeidsintensief. Je moet de juiste patch ID’s voor jouw Magento versie zoeken, inloggen bij Magento, downloaden, de bestanden naar de juiste plek transporteren, commando’s uitvoeren, testen of alles nog werkt … En als je meerdere shops beheert is het niet gek als je een patch of shop vergeet.
Waarom zouden mensen hun shop niet willen patchen? Hier biedt misschien de Prospect Theory duidelijkheid: mensen verkiezen een hypothetisch – maar groot verlies boven een klein – maar zeker verlies. Voor het installeren van een patch zul je wat tijd en/of geld moeten investeren, dus dan maar de gok wagen … ?
MageReport.com
Bovenstaande punten bieden geloofwaardige redenen waarom zo ontzettend veel Magento webshops nog onveilig zijn. Maar het doet niets af aan de uitkomst en het gevaar dat veel webshops én hun klanten lopen. Heb jij een Magento webshop, zorg er dan voor dat jij je shop op orde hebt. Op MageReport.com kun je supereenvoudig checken of je alle patches (goed) hebt geïnstalleerd en zo niet, hoe je dat stap voor stap alsnog kunt doen.
Bron: Emerce.nl