Top-Sicherheitsstrategien zum Schutz Ihres Magento-Shops

(Dies ist ein Gastbeitrag von unseren Freunden bei JetRails, einem Magento-Hosting-Anbieter, der Kundenkonfigurationen auf dedizierten Servern in der AWS Cloud anbietet.)

Ihre Magento-Storefront ist ein wertvolles Ziel für Hacker und erfordert strenge Sicherheitsmaßnahmen, um ihre Schwachstellen zu minimieren. Als dedizierter Magento-Hosting-Anbieter wird JetRails oft als Notfallhelfer zur Bekämpfung böswilliger Angriffe hinzugezogen. Wir haben aus erster Hand Erfahrung mit den katastrophalen Auswirkungen, die eine Sicherheitsverletzung auf Ihr Unternehmen haben kann.

Das Befolgen bewährter Sicherheitsverfahren und -protokolle ist die beste Verteidigung beim Schutz Ihrer Magento-Storefront. Verwenden Sie diese Checkliste als Leitfaden für Sicherheitsmaßnahmen gegen die häufigsten Bedrohungen, darunter das Einschleusen von bösartigem Code, Malware, Brute-Force-Angriffe und die gefürchteten DDoS.

Best Practices für Magento-Sicherheit

Sehen Sie sich unsere Checkliste der Best Practices für Magento-Sicherheit an, um sicherzustellen, dass Sie vor den häufigsten Online-Bedrohungen geschützt sind.

Sichere Standardspeicherorte

Jede Magento-Installation hat mehrere Back-End-Ordner, die für administrative Zwecke verwendet werden. Diese Einstiegspunkte befinden sich standardmäßig unter /admin, /downloader, /var und verschiedenen /rss-Endpunkten. Da diese Ordner an bestimmten und bekannten Orten eingerichtet sind, können sie ein Einfallstor für böswillige Angriffe auf Ihre Website sein. Brute-Force-Angriffe auf Ihre Admin-Pfade können Ihre Ressourcen enorm belasten – die Besucherkapazität einschränken, die Geschwindigkeit beeinträchtigen und die Stabilität untergraben. Dies ist ein Problem, das am engsten mit Magento 1.x-Installationen im Vergleich zu Magento 2.x-Installationen (die automatisch dieses Sicherheitsprotokoll erfordern) verbunden ist. Das Blockieren des Zugriffs, das Anpassen und Sichern von Administratorpfaden erschwert es Hackern erheblich, diese Schwachstelle auszunutzen.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung, auch bekannt als 2FA, fügt eine zweite Schutzebene hinzu, um Anmeldeinformationen für Administratorbenutzer zu authentifizieren, und ist eine entscheidende Komponente für die Magento-Sicherheit. Bei einer Standard-Magento-Installation erhält ein Benutzer nur eine Authentifizierungsmethode, die Sicherheitsbeschränkungen aufweist. Das Hinzufügen einer Zwei-Faktor-Authentifizierung hat sich zu einer branchenweiten Best Practice entwickelt und ist für die Sicherung Ihrer Website von entscheidender Bedeutung. Magento 2FA-Plugins finden Sie auf dem Magento Marketplace, einschließlich der Magento Two-Factor Authentication von JetRails.

Webanwendungs-Firewall

Durch die Verwendung einer Web Application Firewall (WAF) wie der von Cloudflare können Sie Sicherheitslücken abwehren, indem Sie schädlichen Datenverkehr blockieren, bevor er Ihren Server tatsächlich erreicht. Eine WAF kann eingehenden Datenverkehr basierend auf bestimmten Regeln, die Sie konfigurieren, filtern, überwachen und blockieren. Mit Geoblocking können Sie beispielsweise den Zugriff von Bots und/oder Menschen aus bestimmten globalen Regionen einschränken. Ein weiterer Vorteil einer Cloudflare WAF ist Collective Intelligence, mit der Sie nicht nur Datenverkehr blockieren können, den Sie als bösartig identifiziert haben, sondern auch Datenverkehr, der von der gesamten Cloudflare-Community als bösartig eingestuft wird. Darüber hinaus kann eine WAF einen gewissen Schutz vor nicht angewendeten Magento-Patches bieten. Es ist jedoch sehr wichtig, immer die neuesten Magento-Sicherheitspatches installiert zu haben, anstatt sich ausschließlich auf (selbst eine sehr ausgeklügelte) Firewall zu verlassen.

Aktualisieren von Magento-Patches

Die Open-Source-Software von Magento bietet E-Commerce-Communities eine enorme Flexibilität, um ihre Websites anzupassen und die Bedürfnisse ihrer Kunden zu erfüllen. Die Verantwortung für das Befolgen von Sicherheitsprotokollen, das Aktualisieren von Sicherheitspatches und das Abschrecken von Schwachstellen erfordert jedoch Maßnahmen seitens der Storefront-Eigentümer und des Entwicklungsteams.

Wenn eine Sicherheitslücke entdeckt wird, nehmen Magento-Entwickler geringfügige Änderungen an einer bestimmten Codezeile vor. Diese Anpassung des Codes wird von Magento als Sicherheitspatch zur Selbstinstallation versendet. Auch Hacker sind sich dieser Schwachstellen bewusst, weshalb Sicherheitspatches sofort nach ihrer Veröffentlichung installiert werden sollten. Eine großartige Ressource ist MageReport, das Ihre Website überprüft, um festzustellen, ob Magento-Patch-Installationen erforderlich sind. Patch-Sicherheitsupdates finden Sie auch im Magento Security Center. Ihre Technologiepartner sollten Sie benachrichtigen, wenn Patches verfügbar werden.

Plugins von Drittanbietern

Plugins von Drittanbietern für Magento können endlose Optionen zur Verbesserung Ihres Schaufensters und Ihrer Kundenerfahrung schaffen. Das Hinzufügen von Funktionen kann jedoch auch zu unerwarteten Schwachstellen führen. Um sicherzustellen, dass die Sicherheit nach der Installation von Plugins von Drittanbietern aufrechterhalten wird, muss Ihr Entwickler alle Anbieter und Anwendungen manuell auf Updates überprüfen. Plugins von Drittanbietern müssen sorgfältig überwacht und gepatcht werden, wenn Schwachstellen aufgedeckt werden. Der Magento Marketplace ist bei der Überprüfung von Plugins für Magento 2 viel strenger geworden, aber das gleiche Prinzip gilt sowohl für Magento 1 als auch für Magento 2.

OS/PHP-Versionen

Genau wie Ihre Magento-Installation muss Ihr Server-Betriebssystem mit den neuesten Kernel- und Sicherheitspatches auf dem neuesten Stand gehalten werden. Andernfalls können große Sicherheitslücken wie die Anfang 2018 aufgedeckten Sicherheitslücken Meltdown und Spectre entstehen, die es Schadcode ermöglichten, Kernel-Speicher auszulesen.

Dies gilt auch für PHP, das den Magento-Quellcode liest und ausführt. Jede neue Iteration von PHP sichert Schwachstellen, die in nachfolgenden Versionen aufgedeckt wurden. Darüber hinaus bestehen ältere PHP-Versionen keine PCI-Compliance-Scans.

Es ist von entscheidender Bedeutung, mit einem Managed Service Provider zusammenzuarbeiten, der für die Wartung des gesamten Software-Stacks verantwortlich ist, einschließlich des Kernels und der zugehörigen Dienste.

PCI-Konformität

Der Payment Card Industry Data Security Standard (PCI DSS) gilt für Unternehmen jeder Größe, die Kreditkartenzahlungen akzeptieren. Da die meisten Magento-Storefronts mit Kundenkonten arbeiten, ist es ratsam, die PCI-Compliance-Standards zu erfüllen. Wenn Ihr Unternehmen beabsichtigt, Kartenzahlungen zu akzeptieren und Karteninhaberdaten von Kunden zu verarbeiten, müssen Sie Ihre Daten auch sicher bei einem PCI-konformen Hosting-Anbieter hosten. Das Ausführen eines PCI-Scans über einen zugelassenen Anbieter wie Trustwave kann Sicherheitsprobleme aufdecken, die Sie daran hindern können, PCI-Compliance zu erlangen.

Zugriff mit den geringsten Privilegien

Ein weiterer wichtiger Designaspekt beim Schutz Ihrer Magento-Website vor böswilligem Verhalten ist das Konzept des Least Privilege Access. Dieses Prinzip erfordert, dass Benutzern nur Zugriff auf die minimale Teilmenge von Funktionen gewährt wird, die zum Ausführen einer bestimmten Aufgabe erforderlich sind. Beispielsweise sollten Mitarbeiter in der Versandabteilung nur Zugriff auf Versandfunktionen haben; Ebenso sollten diejenigen, die für die Abrechnung zuständig sind, nur die Möglichkeit haben, die Abrechnung zu beeinflussen. Durch die Verwendung einer Kombination aus Nur-Lese-Berechtigungen und Trennung von Abteilungen wird die Sicherheit Ihrer sensiblen Kundendaten erhöht.

Zugriffssicherheit

Passwörter sollten regelmäßig geändert und nicht weitergegeben werden. Das Praktizieren guter Passwortprotokolle ist für die Sicherheit unerlässlich. Senden Sie Passwörter nicht in Klartext-E-Mails, SMS, IM, Support-Tickets oder auf andere unverschlüsselte Weise. Für den Systemzugriff ist es normalerweise keine gute Idee, die Kennwortauthentifizierung für Shell- oder SFTP-Benutzer zuzulassen. Verwenden Sie nach Möglichkeit SSH-Schlüssel anstelle von Passwörtern.

Eine großartige Ressource zum sicheren Speichern von Passwörtern ist LastPass, ein kostenloses Verwaltungssystem, das auf jedem Browser und Mobilgerät funktioniert. Es kann auch sichere Passwörter generieren und bietet die stärksten derzeit verfügbaren Verschlüsselungsstandards.

Schützen Sie Ihre Entwicklungsumgebung

Es ist sehr wichtig, jeglichen Zugriff auf Ihre Entwicklungsumgebung auf andere Personen als Ihre Entwickler zu beschränken. Denken Sie daran, dass Ihre Entwicklungsumgebung ein Spiegel Ihrer Produktions- (Live-) Site mit ebenso wertvollen Informationen ist. Häufig verwenden Entwickler Passwörter und SSH-Schlüssel sowohl in dev als auch in prod wieder, daher ist es wichtig, in beiden Umgebungen die gleichen strengen Sicherheitsprotokolle beizubehalten.

Umgeben Sie sich mit einem großartigen Team

Jeder dieser Schritte bietet eine andere Schutzebene und kann in eine Sicherheitsstrategie integriert werden, um Ihnen zu helfen, Risiken zu mindern und Bedrohungen für Ihre Magento-Storefront zu eliminieren. Die Zusammenarbeit mit einem guten Hosting-Unternehmen und einem soliden Entwicklungsteam ist für das Erreichen eines soliden Sicherheitsplans von grundlegender Bedeutung. Letztendlich geht es bei der Sicherung Ihrer E-Commerce-Website darum, Ihr Vermögen, Ihre Kunden und Ihren Ruf zu schützen.

Über den Autor: Davida Wexler, Marketingdirektorin von JetRails

Davida Wexler ist Marketingleiterin bei JetRails, einem Magento-Hosting-Anbieter, der benutzerdefinierte Konfigurationen auf dedizierten Servern und in der AWS Cloud anbietet. Mit Büros in Chicago konzentriert sich JetRails auf Sicherheit, Beschleunigung und Leistung für E-Commerce-Plattformen. Das Unternehmen ist leidenschaftlich daran interessiert, seinen Kunden beim Wachstum zu helfen und den Erfolg von Magento voranzutreiben. Letztendlich glauben sie, dass es beim E-Commerce um Menschen und nicht um Server geht. *Davida ist kein Mitarbeiter von nChannel. Sie ist Gastbloggerin.