Volgens Byte is 80 procent van de Magento-webshops niet veilig. Het hostingbedrijf vroeg eerder dit jaar al de aandacht voor de risico’s van de zogenoemde ‘Shoplift bug’ in de software. Later zijn nog drie van dit soort lekken gevonden.
Na ‘Shoplift’ paste Magento zijn veiligheidsbeleid begin dit jaar aan: wie een lek vindt in het systeem, krijgt een financiële beloning. Inmiddels zijn volgens Byte zo’n twintig lekken ontdekt, variërend van ‘zeer hypothetisch’ tot ‘groot gapend gat’. Magento heeft er patches voor beschikbaar gesteld en gebruikers geïnformeerd. Het is aan hen om de virtuele pleisters ook daadwerkelijk op hun webshop te plakken.
Negentienduizend hacks
Slechts eenvijfde van de ruim tweehonderdduizend Magento-shops zou alle lekken hebben gedicht, aldus Byte. Hackers kunnen zichzelf toegang verschaffen tot klantgegevens en/of betalingen omleiden. Byte zegt alleen in de afgelopen zeven dagen al negentienduizend hacks te hebben verijdeld.
Magereport.com
Om schade te voorkomen hebben developers van Byte een tool gebouwd die ‘de hele Magento-wereld een stukje veiliger’ moet maken. Op Magereport.com kunnen Magento-gebruikers controleren of hun shops veilig zijn, door hun domeinnaam in te toetsen. De tool controleert op tien verschillende punten, waaronder de implementatie van security patches 5344 (Shoplift), 5994, 6285 en 6482.
Duidelijk dat open source veel onderhoud vergt. Zelf voor een Saas oplossing gekozen van SEOshop. Scheelt me veel geld en kopzorgen.
Beste Bert, met een open source toepassing komen de lekken veel eerder aan het licht omdat iedereen onder de motorkap kan kijken. Zaak is dus om de patches direct uit te laten voeren en dan is er niets aan de hand.
Bij een closed source saas oplossing zijn er ook lekken maar worden minder snel gevonden en niet openbaar gemaakt.