Zo voorkom je dat je Magento webshop gehackt wordt

Magento is ideaal voor het beheren van een webshop en mede daarom zijn er inmiddels wereldwijd ruim 200.000 Magento webshops. Veel webshop-eigenaren zijn echter onvoldoende op de hoogte over de maatregelen die genomen kunnen worden om je Magento webwinkel tegen hackers te beveiligen. Wij geven je daarom een aantal praktische tips die je direct kunt toepassen.

Waarom beveiligen?

Steeds meer consumenten en bedrijven zijn zich er van bewust dat zij op het internet slachtoffer kunnen worden van hackers. Onderstaande infographic laat bijvoorbeeld zien dat bijna tweederde van de internetgebruikers wereldwijd zorgen heeft over zijn online privacy.

infographic-privacy
(Bekijk hier de volledige infographic)

Als webshop-eigenaar is het daarom belangrijk om consumenten een veilig gevoel te geven door de beveiliging op orde te hebben, ook omdat de gevolgen groot kunnen zijn wanneer een hacker toegang krijgt tot jouw belangrijke data. Denk bijvoorbeeld aan de reputatieschade, wat zelfs kan leiden tot een faillissement.

Voor veel Magento webshops is de beveiliging echter vaak niet op orde. Dat dit grote gevolgen kan hebben blijkt uit recent onderzoek van Byte, waarin Magento webshops zonder enige beveiligingsmaatregelen al snel gehackt werden. Byte wist deze hackers te traceren en volgde hen wekenlang nauwlettend om de werkwijze in kaart te brengen.

Hackers traced – Meet Magento 2016 from Byte

Maar waarom voeren zoveel Magento webshops dan niet een update of patch door? Vaak is het zo dat de webshop-eigenaren de kennis missen of er onvoldoende geld voor beschikbaar hebben en daarom de gok nemen dat zij niet het slachtoffer worden van hackers.

Om je te helpen jouw Magento webshop beter te beveiligen geven wij een vijftal praktische tips die je direct kunt (laten) doorvoeren en niet veel geld hoeven te kosten.

1. Update Magento regelmatig

Het is zo eenvoudig, het up-to-date houden van Magento. Toch wordt het vaak vergeten of genegeerd en kan dit grote gevolgen hebben voor je webshop. Je maakt het hierdoor voor hackers namelijk eenvoudiger om toegang te krijgen tot de backend (achterkant) van je webshop. Je laat toch ook niet de achterdeur van je huis open staan?
We raden je daarom aan je Magento installatie evenals extensies en thema’s altijd up-to-date te hebben. Zoek regelmatig naar nieuwe patches en installeer ze direct. Vergeet daarbij niet om vooraf een back-up te maken van je huidige bestanden, zodat je bij een installatieprobleem alsnog kunt terugschakelen naar je vorige Magento installatie.

Onderstaande video legt uit hoe je eenvoudig security patches voor Magento installeert en update.

2. Kies de juiste Magento hosting

Hosting moet je zien als de ruggengraat van je webshop en het is daarom van cruciaal belang dat je dit op orde hebt.

Je hostingpartij kan je helpen om een veilige Magento omgeving te realiseren. Informeer bij hen welke maatregelen zij nemen om te voorkomen dat je webshop gehackt kan worden. Sommige Magento hosting aanbieders scannen de servers regelmatig op vreemde bestanden en plaatsen deze vervolgens in quarantaine. Als webshop-eigenaar word je hier vervolgens van op de hoogte gebracht en kun je aangeven wat er met deze bestanden gedaan moet worden.

Een aantal zaken waar je op moet letten bij het kiezen van een hostingpartij:
• Maakt de hostingpartij automatisch en regelmatig backups?
• Worden de laatste versies van PHP en MySQL ondersteund?
• Maakt de hostingpartij gebruik van een firewall?

Op onder meer Hostingvergelijken.eu kun je eenvoudig Magento hosting aanbieders vergelijken en beoordelingen van anderen bekijken.

3. Gebruik beveiligde verbindingen

Alles wat je op het internet deelt kan opgespoord worden door hackers, maar is deels te voorkomen door een beveiligde internetverbinding te gebruiken.

Een van de meest aanbevolen encryptie-protocollen is SSL (Secure Sockets Layer). SSL is een encryptie tussen browser en server die gevoelige informatie zoals persoons- en betaalgegevens versleutelt. Voor webshops is dit natuurlijk van cruciaal belang.

Voor een SSL-verbinding heb je een SSL-certificaat nodig en wordt dit door sommige Magento hosting aanbieders standaard aangeboden. Een webwinkel die is voorzien van een SSL-certificaat is te herkennen aan een groen slot vooraan in de url-balk met daarachter ‘https’.

Een bijkomend voordeel is dat Google heeft aangegeven https/SSL als een ranking signaal te zien. Als jouw Magento webshop dus is voorzien van een SSL-certificaat is dit (weliswaar miniem gezien de vele ranking factoren) van invloed op je positie in de organische zoekresultaten. Maar bovenal biedt het vertrouwen voor je webshopbezoekers, omdat zij zien dat de verbinding is beveiligd.

4. Magento backend aanpassen

Veel Magento webshops gebruiken de standaard admin URL om in te loggen. Als dat bij jou ook het geval is ben je een eenvoudig doelwit voor hackers die proberen toegang te krijgen tot je database via zogenoemde ‘brute force attacks’.

Je kunt het risico op een hack verkleinen door dit in de backend aan te passen. Dit doe je door op je server in te loggen en het ‘local.xml’ bestand (onder ‘/app/etc’) van je Magento installatie te openen. Hierin vervang je ‘admin’ door iets dat minder gemakkelijk is om te raden, bijvoorbeeld ‘MijnMagento123’. Hierdoor verandert je admin URL in datgene wat je ervan maakt. Schrijf voor de zekerheid deze nieuwe URL op.

5. Leg restricties op voor je admin

Om je webshop nog verder tegen ‘brute force attacks’ te beschermen kun je restricties opleggen voor de toegang tot de loginpagina van je administrator. Dit doe je door bijvoorbeeld alleen toegang te geven aan bepaalde IP-adressen.

Daarnaast kun je ervoor kiezen om een ‘2-step authentication’ (ook wel two factor authentication) voor je webshop te gebruiken. Online diensten van Google, Microsoft en Facebook gebruiken dit bijvoorbeeld. Vaak moet je hierbij eerst je gebruikersnaam en wachtwoord invullen en ontvang je vervolgens per sms een code om in te loggen.

Let wel op dat alle aangedragen oplossingen niet zaligmakend zijn. Het zijn extra hordes voor hackers, maar maakt het voor hen niet onmogelijk om alsnog je webshop te hacken.

Bonustip
Mocht je toch het slachtoffer worden van hackers, bekijk dan eerst even de website No More Ransom voordat je losgeld betaalt. Deze website, waar onder meer Interpol en de Nederlandse politie bij zijn betrokken, biedt diverse tools en tips hoe je jouw data kunt terughalen en beschermen.

Is jouw Magento webshop wel eens gehackt? Hoe heb je dit opgelost? Laat een reactie achter om zo ook anderen te helpen.