Vijf tips om je Magento webwinkel te beveiligen
Ransomware-infectie’s, DDoS brute force attacks, je hoort het steeds vaker en je zit er niet op te wachten dat je webwinkel doelwit wordt van cyberaanvallen omdat je niet hebt gedacht aan de beveiliging.
Magento is de meest populaire webwinkel software die er is. Dat biedt vele voordelen zoals een goed onderhouden systeem en een constante ontwikkeling voor nieuwe of betere extensies. Echter brengt populariteit ook nadelen met zich mee. Zo zijn Magento webwinkels regelmatig het doelwit van hacks.
Waarom hacken ze mijn webwinkel?
Een geruststelling is dat een hack vrijwel nooit een persoonlijke aanval is. E-commerce platformen zijn nu eenmaal interessante doelwitten voor internetcriminelen. Bij een toegangspoort kunnen ze bestellingen aanpassen, persoonlijke- en financiële gegevens achterhalen, spam versturen en zelfs betalingen omleiden. Zaken die veel schade aan de webwinkelier en de klant kunnen opleveren.
En juist omdat e-commerce platformen werken met persoonlijke gegevens en betalingen is het een van de favoriete platformen om te hacken voor een internetcrimineel.
Magento webwinkel beveiligen
Onder het mom voorkomen is beter dan genezen, gaan we aan de slag met het beveiligen van jouw Magento webwinkel. Helaas is geen enkele beveiliging 100% waterdicht, maar het is vooral bedoeld om het hackers zo lastig mogelijk te maken. Voor jouw webwinkel 100 anderen. Is de webwinkel goed beveiligd en moet een hacker behoorlijk wat werk verrichten om binnen te komen, dan is de kans groot dat hij naar de buurman gaat die de beveiliging van zijn webwinkel minder serieus heeft genomen.
Tijd om aan het werk te gaan.
Gebruikersnaam en wachtwoord
Het kan niet vaak genoeg gezegd worden. Overal op het internet word je ervoor gewaarschuwd, maar wat zijn er toch nog veel mensen die wachtwoorden gebruiken zoals 123456, Wachtwoord, Qwerty of een geboortedatum. En dan heb ik de veelgebruikte gebruikersnaam admin nog niet genoemd.
Hackers gebruiken geautomatiseerde programma’s om gebruikersnamen en wachtwoorden te achterhalen. Elke minuut kunnen er wel honderden combinaties worden uitgeprobeerd. Dat betekent hoe meer karakters je gebruikt, des te kleiner de kans dat een gebruikersnaam en wachtwoord wordt geraden. Tevens het complexer maken van het wachtwoord door het gebruik van leestekens, cijfers, letters en hoofdletters is aan te raden.
Kies daarom een gebruikersnaam en wachtwoord van minimaal acht karakters met een combinatie van (hoofd)letters, cijfers en leestekens, en kies liever niet iets voor de hand liggend zoals namen, geboortedatums etc.
Tip 01: onder system kun je zowel de gebruikersnaam als het wachtwoord aanpassen.
Accountbeheer
Meer accounts zorgen voor meer toegangspoorten voor hackers. Beperk daarom het aantal accounts die toegang verlenen tot de backend. Het account van een vorige website beheerder of een oud-collega kunnen beter z.s.m. verwijderd worden.
Tevens is er de mogelijkheid om de backend alleen open te zetten voor een specifiek IP-adres. De backend is dan bijvoorbeeld alleen toegankelijk van je locatie thuis of kantoor. Het is zelfs nog mogelijk om een gebruiker met een tijdelijk wachtwoord te laten inloggen die wordt verzonden naar een opgegeven telefoonnummer. Dit wordt ook wel de twee-factor-authenticatie genoemd.
Tip 02: IP whitelisting kent een uitgebreid stappenplan, meer hierover vind je op de website van Magento.
Tip 03: voor de twee-factor-authenticatie dien je een extensie aan te schaffen en te installeren. Na installatie kun je de twee-factor-authenticatie inschakelen per gebruiker. De gebruiker installeert op zijn smartphone de ‘Google Authenticator’ app en kan deze na een aantal korte stappen gebruiken om in te loggen in de backend.
Up-to-date
Het niet up-to-date houden van de software is misschien nog wel de grootste veroorzaker van hacks. Magento, maar ook extensies die worden gebruikt bestaan uit een code. Deze bevatten soms fouten (bugs) of verouderen met de tijd. Als de update van zo’n extensie of Magento niet wordt uitgevoerd, blijft de bug aanwezig binnen de webwinkel of verouderd de software. Dat leidt tot toegangspoorten voor hackers waarbij ze de voordeur niet eens meer hoeven te gebruiken.
Gebruik daarom alleen extensies die door de maker netjes wordt onderhouden en voorzie Magento en geïnstalleerde extensies altijd op tijd van een update.
Tip 04: download de extensie Magento Connect Manager om extensies automatisch te scannen en bij te werken naar de nieuwste versie.
URL backend
Als de achterdeur gesloten is moet je toch via de voordeur naar binnen. De hacker gaat naar de backend en het geautomatiseerde programma die probeert jouw gebruikersnaam en wachtwoord te raden gaat van start. Maar wat als de hacker niet eens bij de inlogpagina van de backend kan komen? Dat maakt het hacken alweer een stuk lastiger.
Dit kan door de URL van de backend te wijzigen. Magento kent een standaard URL voor de backend, maar deze is aan te passen naar een domeinnaam/ URL naar keuze. Vul hier vervolgens uiteraard niet je gebruikersnaam in, maar kies voor wat anders.
Tip 05: de URL van de backend aanpassen kan onder ‘Store > Configuration > Advanced > Admin > Admin Base URL. Pas ‘Use Custom Admin URL’ aan naar ‘Yes’ en geef de Admin URL op. Pas daarna ‘Custom Admin Path’ aan naar ‘Yes’ en vul in wat er na de laatste ‘/’ moet komen.