Magento Sicherheit Checkliste

Magento Sicherheit
Piorität Ziel Lösung Beschreibung
Hoch Sicherheistlücken Code

Prüfen auf Magento Sicherheitslücken https://www.magereport.com

Patch installieren per Command Line

cd [pfad-magento-root]
sh PATCH_SUPEE-8788_CE_1.9.0.1_v2-2016-10-14-09-37-14.sh
rm -R var/cache/mage-*

				
Magento publiziert regelmäßig Security Patches, wofür man sich einen Alert setzen kann. Die zügige Behebung wird empfohlen.
Hoch Dowloader Verzeichnis

Das Verzeichnis wird komplett gesperrt und muss manuell wieder freigegeben werden

1. Die .htaccess Datei erweitern im Verzeichnis / Pfad

[pfad-magento-root]/downloader/.htaccess

2. Apache Direktriven eintragen

Order deny,allow
Deny from all
#Allow from 1.1.1.1

automatisierte Bots die Sicherheitslücken ausnutzen

 

Hoch Passwörter Klartext
  1. SSL Zertifikat installieren
  2. Magento > Konfiguration > SSL aktivieren

Übertragung von Passwörtern im Klartext
Abhören Passwörter
Abhören von Webseiten Verkehr

Hoch Admin Zugang

Zeitbasierende Rewrite Regeln. Von 09 bis 19:00 jeder Wochentag.

RewriteCond %{REQUEST_URI} ^/index.php/admin/$ [NC]
RewriteCond %{TIME_HOUR} >09
RewriteCond %{TIME_HOUR} <19
RewriteRule .* - [F]
				

automatisierte Brute-force Attacken auf den Admin Zugang.
DDOS Attacken
Sicherheitslücken
Risiko auslesen Daten Zahlungsmodule

Hoch Conf Datei lesbar

Prüfen folgende URL von einem Browser oder Curl aufrufbar ist.

 

http://[domain]/app/etc/local.xml

 

Auslesen von Benutzer und Passwort für Datenbank
Mittel Software Version
http://[domain]/RELEASE_NOTES.txt

Auslesen der Software Version um bekannte Schwachstellen zu nutzen.

Mittel RSS Feeds Datei aufrufen >
http://[domain]/app/etc/Mage_All.xml

und auf <active>false</active> setzen

<Mage_Rss>
	<active>true</active>
	<codePool>core</codePool>
	<depends>
		<Mage_Catalog/>
		<Mage_CatalogInventory/>
		<Mage_Sales/>
		<Mage_SalesRule/>
		<Mage_Wishlist/>
	</depends>
</Mage_Rss>

Bots für Preisvergleiche, Warenbestände etc
DDOS Attacken

Hoch HTTP Request Timeout
  • Kontrolle Logbuch Webserver auf HTTP Status Codes 408
  • Kontrolle Keep-alive Timeout (Info) . Wert herabsetzen
  • Security Scan von Drittanbieter
  • Installation, Aktivierung und Konfiguration einer der folgenden Module
  1. mod_reqtimeout Module Apache (ab v2.2.15),
  2. mod_qos Module 
  3. mod_security

HTTP DOS Attacken, Abwehr Sloris / Loic
Unterbrechung Server Dienst
Ausfall Umsätze

Mittel Referrerspam

Kontrolle Logbuch Webserver

Blockiern betreffender Referrer in der Datei .htaccess wie folgt


SetEnvIfNoCase Referer buttons-for-website.com spammer=yes
SetEnvIfNoCase Referer seoanalyses.com spammer=yes
SetEnvIfNoCase Referer magento-crew.net spammer=yes

Order allow,deny
Allow from all
Deny from env=spammer
  • Manipulation von Logbüchern wie GoogleAnalytics, Piwik
  • Verfälschung Datenverkehr

 

Mittel Spambots
  • Kontrolle Logbuch Webserver
  • Kontrolle der IP Adressen der fraglichen Quellen
  • Installation von Honeypot zu weiten aufspüren
  • Blockieren von Spambots in der Datei .htaccess wie folgt
  • Serverauslastung
  • Content Kopieren
  • Abhören, Ausspionieren eCommerce Shop
  • Kommentar Spam
  • Denial-of-Service

 

Niedrig Server Status
  1. Pürfen ob folgende URL aus dem Internet aufrufbar ist: http://[domain]/server-status
  2. In der apache.conf Datei den Wert auf
    ExtendedStatus Off setzen
  • Ausspionieren der Serverauslastung
  • Ausnutzung Serverschachstellen

Überblick

eCommerce Shops wie Magento, werden heute massenhaft aus dem Internet attackiert. Die Vorstellung, es betrifft nur große Unternehmen erweist sich als falsch. Schon längst dient Ihre Magentoshop als Knecht zahlreicher "Ausbeutungen". Als solche wären zu benennen:

  • Installation von Malware
  • Wirtschaftsspionage Preis / Produkte
  • Kommentar Spam (-> SEO)
  • Referer Spam
  • Ranking von Produkten
  • Zugang Admin Magento Shop
  • Duplicate Content (-> Negativ SEO)
  • Ausfall Online-Shop (-> Konkurrenz)
  • Bewertungsspam

Sie können getrost davon ausgehen, dass in dem harten Wettbewerb auch Konkurrenten gezielt zu negativen Maßnahmen greifen um sich Vorteile zu erarbeiten, auch wenn das gegen zahlreiche Gesetze verstößt. Beauftragt werden hierzu Dienstleister in Drittländer wie China, Rußland, Indien usw.

Dort ist häufig der Ursprung zu finden für zahlreiche automatisierte Aufrufe (HTTP Requests), die nur darauf abzielen Konfigurationen am Server und Magento Shop auszunutzen. Daneben gibt es zahlreiche "Bots" (Synonym: Spider, Crawler), die für die meisten deutschen Online Shops kaum von Bedeutung sind.

Was interessiert Sie als Shop Betreiber ob Yandex (Russland) oder Baidu (VR China) Ihre Seiten indexiert?

Selbst aus SEO Gründen mag der Nutzen nur wenig einleuchten. Daneben gibt es eine Inflation an Online oder Webdiensten Diensten allerlei Optimierungen:

  • SEO Optimierung
  • Content Optimierung
  • Shop Optimierung
  • Web Alerts
  • Marken- und Urheberrechts Dienste

Viele greifen Ihre Daten ab ohne, dass Sie einen meßbaren nutzen haben - allerhöchsten die Konkurrenz oder sonstige Dritte.

Wie so oft, kommt es darauf an. Machen Sie eine Nutzwertanalyse und prüfen Sie was Ihnen mehr Vorteile bringt. Sind 99% Ihrer Kunden aus den D-A-S Ländern und greifen nicht gerade über internationale Firmennetze auf Ihren Magento Shop zu, dann kann das sperren von Netzwerkbereichen aus unsicherer Ländern eine Lösung sein.

Einige Magento Extensions versprechen Hilfe gegen die vielen Spambots, jedoch arbeiten die Codes auf der Shopebene. Um so tiefer man auf Server oder Netzwerkebene einsteigt um so größer sind Möglichkeiten, bei gleichem Aufwand.

Fazit

Bis auf ein paar wichtige Suchmaschinen und Register brauchen viele Projekte die zahlreichen automatisierten Besucher nicht. Einige Bots suchen gezielt nach Sicherheitslücken, die oft bei kleineren Projekten, wegen schwächerer Betreuung einfacher zu finden sind. Als Resultat dient Ihr Shop dann für viele "negativen Geschäftsmodelle" ferner Länder.

Weiterführende Informationen

Bots / Spambots


Magento Sicherheit

Blockieren von Zugriffen

Tools

Server Module (Apache)