Waarom patchen Magento shopeigenaren hun webshop niet?
Het e-commerce systeem Magento is ideaal voor het beheren van een webshop. Wereldwijd zijn er ruim 200.000 Magento webshops. Schokkend is echter dat zo’n 80 procent van deze webshops niet veilig blijkt te zijn doordat niet alle veiligheidsupdates zijn doorgevoerd door de shopeigenaren. De aard van het gevaar: hackers kunnen zichzelf toegang verschaffen tot klantgegevens en/of betalingen omleiden. Als de veiligheidslekken zo’n impact hebben, waarom voeren de shopeigenaren dan de veiligheidsupdates niet uit?
Magento security patches
Afgelopen februari bracht Magento haar eerste echt serieuze veiligheidslek naar buiten, genaamd Shoplift. Veel shops zijn toen gehacked. Magento heeft hier haar securitypolicy op aangepast; vind je een serieus veiligheidslek in het systeem, dan ontvang je van Magento een financiële beloning.
Inmiddels zijn zo’n twintig lekken ontdekt, variërend van ‘zeer hypothetisch’ tot ‘groot gapend gat’. Magento heeft er direct patches (zie het ook echt als pleisters) voor beschikbaar gesteld en heeft al haar gebruikers daarover geïnformeerd. Het is aan de gebruikers om ze ook daadwerkelijk te implementeren op hun webshop.
De patches worden niet geïmplementeerd
‘Het is aan de gebruikers om ze ook daadwerkelijk te implementeren op hun webshop‘, daar gaat het mis … Als Magento hostingprovider zien wij dagelijks hackpogingen op de hierboven genoemde lekken. Alleen al in de afgelopen zeven dagen hebben we met onze eigen platformbeveiliging zo’n 19.000 hackpogingen afgeweerd.
Gelukkig maar, want een schrikbarend aantal webshops heeft nog niet alle patches geïmplementeerd. En omdat wij onze klanten er uitgebreid op wijzen, zal het percentage niet-gepatchte webshops wereldwijd nog veel hoger liggen. Wij deden we een test over alle 216.394 Magento webshops wereldwijd (met onderscheid tussen de gratis Community editie en de betaalde Enterprise editie), en het resultaat is zorgwekkend:
Shopeigenaren voeren dus niet alle security patches door, met alle risico’s van dien. Zelfs voor de Enterprise editie-gebruikers, waarbij je moet denken aan webshops met een jaarlijkse omzet van zo’n 100.000 euro, geldt dat meer dan de helft van de shops de laatste patch niet heeft doorgevoerd. En deze is toch al ruim een maand oud.
Waarom patchen shopeigenaren niet?
Logischerwijs kom je uit op twee mogelijke antwoorden: mensen kunnen het niet, of willen het niet.
Kunnen het niet? Dat is niet ondenkbaar:
- Om de patches te installeren moet je SSH toegang hebben en moet je je weg daarin enigszins weten te vinden. Niet alle hostingproviders bieden SSH toegang, en het is ook zeker geen eenvoudige klus. Dit is een veel gehoorde klacht.
- Het installeren van een patch is sowieso best complex. Je moet de patch niet alleen installeren, maar je moet ook verschillende delen uit je applicatiestack opnieuw opstarten of legen. Denk aan de “Magento compilatie”, opcode cache, PHP en eventueel de block cache. Doe je dat niet, dan lijkt je de patch te hebben geïmplementeerd, maar doet hij helemaal niets.
- Het installeren van een patch is vrij arbeidsintensief. Je moet de juiste patch ID’s voor jouw Magento versie zoeken, inloggen bij Magento, downloaden, de bestanden naar de juiste plek transporteren, commando’s uitvoeren, testen of alles nog werkt … En als je meerdere shops beheert is het niet gek als je een patch of shop vergeet.
Waarom zouden mensen hun shop niet willen patchen? Hier biedt misschien de Prospect Theory duidelijkheid: mensen verkiezen een hypothetisch – maar groot verlies boven een klein – maar zeker verlies. Voor het installeren van een patch zul je wat tijd en/of geld moeten investeren, dus dan maar de gok wagen … ?
MageReport.com
Bovenstaande punten bieden geloofwaardige redenen waarom zo ontzettend veel Magento webshops nog onveilig zijn. Maar het doet niets af aan de uitkomst en het gevaar dat veel webshops én hun klanten lopen. Heb jij een Magento webshop, zorg er dan voor dat jij je shop op orde hebt. Op MageReport.com kun je supereenvoudig checken of je alle patches (goed) hebt geïnstalleerd en zo niet, hoe je dat stap voor stap alsnog kunt doen.
Gerelateerd event
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
4 Reacties
Stichting WebwinkelKeur
Herkenbaar. Teveel mensen kiezen zonder afgewogen keuze voor Magento. Het systeem wordt gepresenteerd als “gratis”, maar door complexiteit zijn de kosten voor onderhoud hoog. Wij hebben hier onlangs nog over geschreven: https://blog.webwinkelkeur.nl/is-magento-geschikt-voor-mij/
Zo hebben we een praktijkcase waarbij een webwinkel werd opgeleverd voor 2.000, maar een update naar de nieuwste software 3.000 koste… Hierdoor worden updates vaak uitgesteld.
Jan
Als een update naar de nieuwste software 3000 euro kost stichting webwinkelkeur, dan kun je beter andere software nemen. Voor dat bedrag huur je 2 coders die een custom systeem voor jou bouwen.
BigBridge
Deze cijfers zijn inderdaad behoorlijk zorgwekkend. En dan te bedenken dat de uitgebrachte patches relatief eenvoudig zijn te installeren en dus zeker niet kostbaar zijn. veiligheid boven alles zou je denken maar helaas blijkt uit de cijfers het tegendeel. Ook wij informeren altijd per direct onze klanten zoals elke Magento partij zou moeten doen. Maar uiteindelijk is de webshop eigenaar verantwoordelijk voor zijn eigen veiligheid.
Sition
Onlangs hebben wij een certificering van thuiswinkel waarborg laten uitvoeren voor een shop. Onderdeel daarvan is een uitgebreide security check. Schokkende is dat bekende Magento veiligheid lekken niet gedetecteerd werden, terwijl er wel een aantal patches ontbraken. Ook een dergelijk keurmerk zegt niet zoveel over de veiligheid van een shop. Wij zijn dan ook blij met de tool van Byte.