Magereport

Vandaag hebben we ons nieuwe Magento-paradepaardje gelanceerd. Maandenlang heeft een team van onze slimste developers zichzelf opgesloten (in een hok dat we tegenwoordig het zweethok noemen) om samen met een aantal Magento partijen een tool te maken waarmee we de hele Magento wereld een stukje veiliger maken. Graag stellen we jullie voor: MageReport.com.

Check of je shop veilig is

De Magento wereld is de afgelopen maanden een aantal keren opgeschrikt door veiligheidslekken en patches om deze te dichten. De SUPEE’s vlogen je om de oren en het implementeren ervan was niet altijd even makkelijk of duidelijk. Naast de patches zijn er nog tal van punten waarop je shop mogelijk niet helemaal veilig is en er komen voortdurend nieuwe bij.

Op MageReport.com kun door je URL in te voeren binnen 30 seconden zien of je shop kwetsbaar is, zo ja waarvoor, en hoe je het (stap voor stap) op kunt lossen. De site controleert je shop (op dit moment) op de volgende punten:

  1. Is je serversoftware goed onderhouden? Je kunt je Magento versie wel onderhouden, maar als je server op onveilige versies draait (bv PHP), maakt dat je shop kwetsbaar.
  2. Onbeveiligde version control? Version Control systemen/platforms zoals Git en Subversion bewaren metadata in geheime folders. Deze staan niet altijd goed afgeschermd en dus open en bloot voor kwaadwillenden.
  3. Magento versie. Draait je shop op de laatste (en meest veilige) Magento versie?
  4. Security patch 5344 (Shoplift) geïmplementeerd? Via het lek Shoplift kan een hacker volledige controle over je shop krijgen.
  5. Security patch 5994 geïmplementeerd? Deze patch dicht een lek waarmee hackers heel makkelijk je Admin URL kunnen achterhalen en daarmee o.a. brute force attacks kunnen inzetten om je wachtwoord te achterhalen.
  6. Security patch 6285 geïmplementeerd? Deze patch dicht een lek waarmee hackers bezoekerssessies over kunnen nemen en zo via RSS orderdetails kunnen achterhalen.
  7. Security patch 6482 geïmplementeerd? Deze patch dicht een lek waarmee hackers ook bezoekerssessies over kunnen nemen.
  8. Onveilige Magmi? Magmi is een alternatieve productimportertool die veel gebruikt wordt, maar die we sterk afraden vanwege een gebrek aan authenticatie. Het wordt zo erg makkelijk om toegang te krijgen tot de database.
  9. Onbeveiligde development bestanden? Magento 1.9.2.x. bevat /dev directories of bestanden die mogelijk je wachtwoorden of andere gevoelige informatie prijsgeven. Deze zijn niet standaard beveiligd.
  10. Veilige backend URL? Veel mensen gebruiken /admin, /downloader, etc als URL van de Magento backend. Dit zijn de eerste plekken waar hackers gaan zoeken als ze brute force aanvallen op willen zetten.

Blijf op de hoogte

MageReport Blijf op de hoogte Voortdurend voegen we nieuwe checks toe aan deze lijst. Bijvoorbeeld wanneer er nieuwe veiligheidslekken bekend worden gemaakt. Daarnaast zitten wij en onze partners zo diep met onze neuzen in Magento dat we geregeld zelf iets ontdekken dat niet in de haak is. Via een speciale mailinglijst kun je op de hoogte blijven van nieuw toegevoegde checks.

Eindelijk een overzicht!

Zowel voor developers, shopeigenaren als Magentopartijen met meerdere webshops onder hun hoede is MageReport.com een heel fijne tool.

Developers zien in één oogopslag of een shop veilig is, en zo niet wat ze nog moeten doen. Door de gekoppelde alertdienst vergeet je nooit meer een lek. Je kunt ook de shopeigenaar goed laten zien wat er nog moet gebeuren aan de shop.

Shopeigenaren kunnen nu ook zelf heel eenvoudig checken of hun shop veilig is. En zo niet, wat je developer er aan moet doen. Het is niet gek als de developer aan bepaalde punten nog niet had gedacht.

MageReport bewaar je Magento shopsBeheer je meerdere shops? Als je inlogt bewaren we de shops voor je in een toolbalk. Je kunt ze in één keer scannen en je ziet direct welke shop aandacht nodig heeft.

 

Niet bij Byte gehost?

Allereerst: ga dat eens snel doen! 😉
Maar afgezien daarvan: ook als je je webshop niet bij Byte host kun je gebruik maken van MageReport.com. Ook wij doen regelmatig een aankoop in een webshop en vinden het gewoon heel belangrijk dat iedereen hier veilig zijn/haar gegevens achter kan laten.
Wel zullen we de komende tijd mogelijk checks toevoegen die we voor jouw shop dan niet kunnen uitvoeren omdat we niet overal toegang toe hebben.

 

Scan je eigen Magento shop op veiligheidslekken