Webwinkels die gebouwd zijn met Magento-software dienen te worden voorzien van een extra beveiliging om hackers buiten de deur te houden. Magento stuurde hierover gisterenavond een noodbericht uit. De software zou een lek bevatten.
Volgens hostingbedrijf Byte, dat webwinkels met Magento host, gaat het om de zogenoemde ‘Shoplift bug’. ‘Door het plaatsen van een backdoor kan een hacker de beheerdersrechten van de webshop overnemen en zo bij alle (klant)gegevens’, meldt de onderneming. ‘Er was al een oplossing voor beschikbaar, maar het probleem wordt nu heel urgent omdat deze week een hackers exploit wordt gepubliceerd. Dit is een programmaatje waarmee het softwarelek kan worden misbruikt.’
Veel webshops niet beschermd
Magento roept zijn klanten op om twee updates uit te voeren die de gegevens van de webwinkel beter beveiligen. Van Bytes’ leden heeft 60 procent de updates nog niet uitgevoerd, meldt het bedrijf aan Twinkle. ‘Ik verwacht dat het percentage van Nederlandse shops dat in gevaar is nog hoger ligt, omdat wij onze klanten al ruim hebben geïnformeerd’, zegt een woordvoerster.
Hackers
Deze week werd bekend dat de webwinkel Mapp.nl onlangs is gehackt via een sql injection. Hierbij wordt een kwetsbaarheid in de verbinding tussen de website en de database misbruikt. Het belang van het beveiligen van websites en webshops werd vorig jaar ook al duidelijk toen bleek dat tweederde van de wereldwijde webwinkels kwetsbaar is voor hackers dankzij de Heartbleed bug. Diverse grote bedrijven als Etsy ondernamen destijds actie om de fout in het systeem op te lossen.
Magento-webwinkels kunnen beschermd worden door de updates Supee-1533 en Supee-5344 te downloaden van deze pagina.
Belangrijk dat dit goed gedeeld wordt inderdaad. Maar sinds wanneer bouwt Byte webshops? Denk dat daar host moet staan in plaats van bouwt.
@Martijn: dat is correct, het is aangepast.
Inmiddels al een iets ouder artikel maar nog steeds actueel aangezien er onlangs weer een nieuwe security patch is uitgebracht. Deze patch (SUPEE-6482) is de meest recente en uitgebracht op 5-augustus 2015.
Wij zien dat veel webshops nog geen gebruik maken van de laatste security patches wat opzich erg vreemd is. Geen gebruik maken van de patches betekent een kwetsbare webshop! Gelukkig informeren hostingpartijen als Byte hun klanten altijd tijdig maar dan moet er wel actie worden ondernomen.