Magento Sikkerhet – hvor mange ganger har du sjekket opp det er en sikkerhetsoppdatering tilgjengelig for din nettbutikk? Er du trygg på at du har en nettbutikk der dine kunder kan handle uten å være redd for at personlig data, og spesielt betalings informasjon, kommer på avveie. I min jobb hos Session Digital har vi stort fokus på netthandel og Magento sikkerhet, og vi søker aktivt etter potensielle sikkerhetshull samt passer på at programvare er oppdatert med sikkerhetsoppdateringer.
Dessverre så ser det ut til at mange nettbutikker i Norge har mange store og velkjente sikkerhetshull som gjør at sensitiv data kan lett komme på avveie. De fleste av disse nettbutikker er nok uvitende at disse hullene eksiterer og stoler på at sine webbyråer, webhotell og utviklere passer på at nettbutikken er oppdatert og trygg. Jeg har nylig brukt tjenester som magescan.com og magereport.com for å ta stikkprøver på mange norske Magento nettbutikker. Resultatene er alarmerende, og nedenfor er de største sikkerhetshullene jeg fant.
Sikkerhetshull som ble funnet:
- En feed med nylige bestillinger er tilgjengelig og jeg kan se kunde og ordre data
- Database dump er fritt tilgjengelig og kan lett lastes ned
- En CSV med et eksport av hele produkt katalogen er fritt tilgjengelig og kan lastes ned
- Feil loggene er tilgjengelig
- PHP versjonen er i noen tilfeller så gammel som 5.3 som har mange sikkerhetshull og ikke lenger støttet av PHP. Per i dag bør du minst oppgradere til 5.6 for å få sikkerhetsoppdateringer (PHP 5.5 er fremdeles støttet inntil 16. Juli 2016)
- Magento versjonen er gammel, og ikke lenger støttet av Magento for sikkerhetsoppdateringer
- Kritiske sikkerhetsoppdateringer fra Magento har ikke blitt installert
Magento sikkerhet
Dette er grove sikkerhetshull som mange Magento nettbutikker bør ta tak i så snart som mulig siden de risikerer at sensitive data havner i feil hender. Flere av de kritiske sikkerhetsoppdateringene fikser sikkerhetshull som har enten allerede blitt utnyttet i enkelte nettbutikker, eller der de har blitt oppdaget før noen har utnyttet de. Men nå som disse oppdateringene har blitt publisert og offentliggjort så er det lett for en hacker å prøve å utnytte dette hos uvitende nettbutikker.
Magento Sikkerhet – Hva Du Bør Gjøre
Hvis du eier eller jobber for en bedrift med Magento nettbutikk så bør du sjekke nettstedet med magereport.com og/eller magescan.com. Hvis disse to tjenestene rapporterer feil så bør du snarest ta kontakt med din leverandør, enten det er et byrå, utvikler og webhotell. De skal kunne hjelpe deg med å fikse disse sikkerhetshullene snarest.
Det er verdt å vite at når jeg sjekket sidene, så var stort sett nettbutikkene som ble driftet av de større aktørene / leverandørene i Norge alle oppdatert og sikret. Det var et par unntak, men stort sett så er det nettbutikker som antageligvis har blitt levert av en mindre aktør eller freelance utvikler som har sikkerhetshullene.
Magento har tidligere i år skrevet et blogg innlegg rundt Magento Sikkerhet som er verdt å lese. Hvis det er noen som er usikre på hva som bør gjøres så er det bare å ta kontakt med meg på [email protected]
Her er noen nyttige linker:
- Magento Community – Sikkerhetsoppdatering for Magento 1.X
- Magento Security News – Følg denne bloggen for de siste nyhetene rundt sikkerhet
- Magento Security Best Practice – Nyttig blogg innlegg om å sikre din Magento nettbutikk
- Session Digital Blog – Paal Soberg – Dette er mine blogg innlegg hos Session Digital
