Magmi staat voor Magento Mass Importer en is een module voor het importeren van grote batches producten. Omdat Magmi beter werkt dan de standaard importeerfunctie van Magento, wordt deze veel gebruikt. Magmi is helaas standaard niet goed beveiligd en biedt als het ware een open deur naar je Magento webshop database. Deze slechte beveiliging in combinatie met de populariteit van de tool zorgt ervoor dat het een dankbaar doelwit is voor hackers. In dit artikel wordt  uitgelegd hoe je veilig gebruik kunt maken van Magmi in jouw Magento webshop.

Vanwege de aard van het probleem is het onderstaande artikel geschreven in het Engels. Met een Engelstalig artikel hopen we shopeigenaren van over de hele wereld een how-to te bieden om het probleem op te lossen en hun shop goed te beveiligen.

What is Magmi for Magento?

Magmi, the Magento mass importer, is an alternative product importer offering better performance over the default Magento importer. This makes it a very powerful yet also dangerous tool as it effectively offers full access to your Magento webshop database.
We have noticed a number of our customers have installed Magmi without properly securing their Magmi installation, opening up their webshop to being exploited by nefarious actors.
Do you have a Hypernode for your Magento webshop? Please read the Unblocking and accessing Magmi for Hypernode article to see how you can use Magmi securely in a few steps.

What is the security problem and what are the consequences?

If you use Magmi in a non-secure way, you will actually be granting others access to your Magento database. This would mean that your shop could be easily abused by malicious people. They could, for example, add admin users and change products, as well as upload insecure files.

A recent well-known Magmi Magento hack was the credit card collection hack that forwarded all payment details of paying customers to the hacker. You can read the full story on Sucuri’s blog.

How do I secure Magmi on my Magento webshop?

Securing Magmi on your Magento webshop is done via SSH.

  1. Log on to your SSH server with your credentials. Byte customers can find their credentials in their Service Panel.
  2. To protect your Magmi installation with HTTP basic authentication, use the following:
    location ~* /magmi($|/) {
        auth_basic "Magmi login required";
        auth_basic_user_file /data/web/nginx/magmi.htpasswd;
        location ~ \.php$ {
            echo_exec @phpfpm;
        }
    }
    

    If you choose this option then you’ll have to create the auth_basic_user_file as well, for example using:

    htpasswd -c /data/web/nginx/magmi.htpasswd exampleuser
  3. To protect your Magmi installation with an IP whitelist, use the following:
    location ~* /magmi($|/) {
        allow a.b.c.d;
        deny all;
        location ~ \.php$ {
            echo_exec @phpfpm;
        }
    }
    

    Be sure to replace a.b.c.d with the IP address you wish to whitelist. (Note: You can add as many allow directives as you would like.)

Adjust the web server configuration in such a way that the Magmi directory cannot be accessed by visitors who should not have access to it. You can do this by white listing IP addresses or a directory password security.
Do you have a Hypernode for your shop? Please read the Unblocking and accessing Magmi for Hypernode article to see how you can use Magmi securely in a few steps.
To fix this problem you access to and knowledge of SSH. If you don’t know how to use SSH, please ask your Technical contact to help you secure Magmi. 


Veiligheid en gemak met SSH Keys
Veiligheid en gemak met SSH Keys

Gebruik jij SSH in je dagelijkse werk? Dan kun je in plaats van inloggen met een wachtwoord, ook jezelf authenticeren door middel van SSH Keys. Deze methode geeft behalve extra veiligheid nog een aantal erg interessante voordelen t.o.v een wachtwoord. In deze whitepaper gaan we in op de techniek van SSH Key authenticatie, de voordelen en de mogelijkheden die het met zich mee brengt.

00