Is jouw Magento-shop kwetsbaar? Doe de test

Magento is hartstikke mooie en geavanceerde webwinkelsoftware. Maar als webwinkelier moet je uiteraard wel de boel blijven bijhouden. Je moet de serversoftware onderhouden, de laatste en meest veilige Magento-versie draaien, security-patches doorvoeren en veilige backend-URL’s hebben. Dit heeft niet iedereen, bewijst de tool MageReport, waarmee je kan checken of jouw Magento-shop kwetsbaar is.

MageReport is een tool ontwikkeld door developers van webhostingbedrijf Byte. Op deze site kun je de url van een Magento-shop invoeren en binnen een aantal seconden zie je of die shop kwetsbaar is of niet. Per site staat dan aangeven wat wel goed is gedaan (bijvoorbeeld de laatste patch geïnstalleerd) en wat niet goed is (is het admin-panel bijvoorbeeld makkelijk te bereiken).

Checken op veilige Magento-shop
Byte laat weten dat de tool verschillende dingen nagaat. Het kijkt of Magento wel versie 1.4.0 of hoger is, of je server wel op een veilige softwareversie draait, het kijkt of version-controlsystemen de metadata wel in goed afgeschermde folders hebben staan en of je security patches 5344 (Shoplift), 5994, 6285 en 6482 hebt geïmplementeerd. Verder kijkt het of je wellicht Magmi hebt geïnstalleerd, een productimport-tool die door Byte wordt afgeraden vanwege een gebrek aan authenticatie. MageReport checkt ook of je shop mappen of bestanden bevat die mogelijk je wachtwoorden of andere gevoelige informatie prijsgeven en of de url van de Magento-backend wel is aangepast; hackers kijken vaak op plekken als /admin of /downloader als ze ‘brute force’-aanvallen willen opzetten.

Bye heeft onderzoek gedaan naar hoeveel procent van de 216.394 Magento-installaties wereldwijd bepaalde patches heeft doorgevoerd. De zogeheten Shoplift-fix (5344), waardoor hackers niet langer zomaar complete controle over je webshop kunnen krijgen, is onder Magento Community-gebruikers slechts door 52% toegepast. Een extremer geval is SUPEE 6482, waar 81% van de Magento-sites deze niet heeft toegepast. Bij de betaalde Enterprise-versie zijn de percentages van niet-gepatchte websites een stuk lager, maar nog steeds hoog.

Waarom mensen niet updaten
Volgens het hostingbedrijf is de reden hierachter een combinatie van ‘niet kunnen’ en ‘niet willen’. Dat eerste kan komen doordat patches terminal-toegang nodig hebben en niet iedereen dat heeft, of doordat de patch-installatie voor velen te complex is. Ook zou het kunnen dat webwinkeliers gewoon liever het installeren van patches, om een toekomstige ramp te voorkomen, uitstellen dan dat ze gelijk even wat tijd en moeite steken in het installeren van die patches.

Magento-webshops met hoog risiconiveau
Wij gooiden de url’s van wat webwinkels door de scan van MageReport en ontdekten zo dat onder andere de webwinkels Proforto, Squashplanet.nl, Tuinmeubelen.nl en de webshop van Omroep Max “risk level HIGH” hebben. Test het zelf.