Magento development bestanden beveiligen


Tags: MagentomagereportSecurity

Vanaf Magento versie 1.9.2 en recenter, bevat Magento een testomgeving op /dev waarbij de kans groot is dat gevoelige informatie, zoals wachtwoorden, makkelijk op te vragen is. Magento zelf heeft aangegeven dat het niet de bedoeling is dat de tests uitkomen op productie servers. Omdat de test omgeving niet standaard beveiligd is, raden we je aan dit zelf te doen. Dit artikel legt uit hoe je development bestanden kunt beveiligen.
Let op! Byte blokkeert dit standaard in de configuratie. Host je bij Byte? Dan hoef je dus niets te doen en is je site en/of shop veilig!
Vanwege de aard van het probleem is het onderstaande artikel geschreven in het Engels. Met een Engelstalig artikel hopen we shopeigenaren van over de hele wereld een how-to te bieden om het probleem op te lossen en hun shop goed te beveiligen.

What are development files and what is the problem?

There is a high probability that your Magento /dev/ directories or files contain configuration files or settings that may be interesting to a hacker. We can check whether we can call up domainname.com/dev through the web with the “Unprotected Development Files” check.
Byte blocks this in the configuration by default. Do you host at Byte? Then there is nothing for you to do and your site and/or shop is secure!

What are the consequences?

If you don’t secure/block your development files they’ll be accessible for any one. Hackers could easily gain access to your site/shop through these files and take over your Magento shop.

How do I fix it?

To fix this problem you’ll need knowledge of web server configuration, access to the files through FTP and SSH and a test environment before implementing your change in the live production shop. 
You can resolve this problem by blocking your dev directory or file in the configuration of your web server. In Apache, this can be achieved through the .htacces. In Nginx, you can block it. Unfortunately, we cannot view the configuration of other hosters and this means that we cannot indicate how you can make your shop secure.
We recommend you to contact your webhoster and ask them to secure/block your development files.
Byte blocks this in the configuration by default. Do you host at Byte? Then there is nothing for you to do and your site and/or shop is secure!


Byte whitepaper

Veel gehoord: FTP is onveilig. In deze whitepaper leggen we precies het verschil uit tussen FTP, FTPS en SFTP. We laten je zien waarom SFTP verreweg de veiligste optie is om je data over te versturen. Na het lezen van deze whitepaper hang je je FTP account voorgoed aan de wilgen.

Please let us know your email address.

 

3