Brute force beveiliging voor Magento

Bij Byte zien we al jarenlang brute force aanvallen op onze systemen. En dat is niet zo gek: brute force aanvallen zijn al zo oud als dat er wachtwoorden bestaan. Bij een dergelijke aanval worden – geautomatiseerd – zoveel mogelijk wachtwoorden uitgeprobeerd, net zo lang tot de goede is gevonden.

Dat overkomt mij niet…

In theorie is dat best lastig. Stel dat iedereen een volledig willekeurig wachtwoord heeft van 10 karakters. Als je cijfers en leestekens meeneemt, heb je pakweg 40 mogelijkheden per karakter. En dus een totaal aantal van 40 tot de 10e macht aan mogelijke wachtwoorden die je moet uitproberen. Dat zijn… 10485760000000000 mogelijkheden. Stel dat je 100 wachtwoorden per seconde kunt proberen, dan ben je 3 miljoen jaar bezig.

Maar de werkelijkheid is anders. In de praktijk hebben mensen geen willekeurige wachtwoorden, maar gebruiken ze g3h31m, qwerty, 123456 of “wachtwoord”. Dergelijke veelgebruikte combinaties zijn gewoon te downloaden. En daarmee wordt de potentiële aanvalstijd aanzienlijk verkort.

Magento een interessant doelwit voor Brute force aanvallen

De afgelopen jaren zagen we dit fenomeen voornamelijk bij WordPress installaties. Zodra het “admin” wachtwoord was geraden, werd er een achterdeur geïnstalleerd. Hiermee kon de aanvaller spam versturen, of een phishing site plaatsen. Hoewel vervelend, bleef de schade in het algemeen beperkt.

Maar sinds kort zien we ook brute-force aanvallen op de bij ons toevertrouwde Magento installaties. E-commerce systemen zijn immers een interessant doelwit voor criminelen. Eenmaal binnen kan men vertrouwelijke informatie downloaden, bestellingen aanpassen, de winkel platleggen of zelfs betalingen omleiden. Zaak om hier zo snel mogelijk een stokje voor te steken.

Wat is de oplossing?

Er zijn drie belangrijke maatregelen. Twee daarvan kun je zelf doen, één daarvan hebben wij op serverniveau voor je geregeld.

Zelf doen: gebruik lastige wachtwoorden

Allereerst, zorg dat je een moeilijk te raden wachtwoord gebruikt. Zie ook onze eerdere blogpost met handige tips over een sterk wachtwoord. Zorg er ook voor dat er geen test accounts op productieservers openstaan, en dat het Magento account van de stagiair van vorig jaar netjes wordt verwijderd. Hoe minder accounts, hoe minder wachtwoorden en hoe kleiner de kans dat er een wordt geraden.

Zelf doen: verander je administratie-url

Ten tweede, maak het moeilijker voor brute force aanvallers om bij je backend systeem te komen. De meeste aanvallen vinden geautomatiseerd plaats op meerdere systemen tegelijk. Als jouw winkel een uitzondering is, is er een kleine kans dat de crimineel daar zijn aanvalscode op gaat aanpassen. Dit doe je bijvoorbeeld door de administratie-url te veranderen van “/admin” naar iets wat je zelf kiest. Ook kun je ervoor kiezen om de backend enkel open te zetten voor bepaalde IPs zoals die van jouw kantoor.

Wat wij doen: op serverniveau

Tenslotte, en dit is de meest geavanceerde maatregel, bestaan er intrusion detection/prevention systemen (IDS of IPS) die verdacht gedrag detecteren en aanvallers tegenhouden. Op ons Magento Hypernode platform zorgt een dergelijk systeem ervoor dat er continue wordt gecontroleerd op herhaalde en mislukte inlogpogingen. Zijn er meerdere binnen een bepaalde tijdspanne, dan wordt de aanvaller een tijdje buitengesloten.

Het resultaat?

In februari zijn er op het Hypernode platform 350 brute force aanvallen tegen Magento geblokkeerd. Webwinkels – criminelen: 1 – 0!

 

Meer lezen:
Op onze Kennisbank hebben we ook specifieke tips om je website te beveiligen tegen Brute Force aanvallen voor Joomla! en WordPress.