| Piorität | Ziel | Lösung | Beschreibung |
|---|---|---|---|
| Hoch | Sicherheistlücken Code |
Prüfen auf Magento Sicherheitslücken https://www.magereport.com Patch installieren per Command Line cd [pfad-magento-root] sh PATCH_SUPEE-8788_CE_1.9.0.1_v2-2016-10-14-09-37-14.sh rm -R var/cache/mage-* |
Magento publiziert regelmäßig Security Patches, wofür man sich einen Alert setzen kann. Die zügige Behebung wird empfohlen. |
| Hoch | Dowloader Verzeichnis |
Das Verzeichnis wird komplett gesperrt und muss manuell wieder freigegeben werden 1. Die .htaccess Datei erweitern im Verzeichnis / Pfad [pfad-magento-root]/downloader/.htaccess 2. Apache Direktriven eintragen Order deny,allow Deny from all #Allow from 1.1.1.1 |
automatisierte Bots die Sicherheitslücken ausnutzen |
| Hoch | Passwörter Klartext |
|
Übertragung von Passwörtern im Klartext |
| Hoch | Admin Zugang |
Zeitbasierende Rewrite Regeln. Von 09 bis 19:00 jeder Wochentag.
RewriteCond %{REQUEST_URI} ^/index.php/admin/$ [NC]
RewriteCond %{TIME_HOUR} >09
RewriteCond %{TIME_HOUR} <19
RewriteRule .* - [F]
|
automatisierte Brute-force Attacken auf den Admin Zugang. |
| Hoch | Conf Datei lesbar |
Prüfen folgende URL von einem Browser oder Curl aufrufbar ist.
http://[domain]/app/etc/local.xml
|
Auslesen von Benutzer und Passwort für Datenbank |
| Mittel | Software Version |
http://[domain]/RELEASE_NOTES.txt |
Auslesen der Software Version um bekannte Schwachstellen zu nutzen. |
| Mittel | RSS Feeds |
Datei aufrufen >
http://[domain]/app/etc/Mage_All.xml und auf <active>false</active> setzen <Mage_Rss> <active>true</active> <codePool>core</codePool> <depends> <Mage_Catalog/> <Mage_CatalogInventory/> <Mage_Sales/> <Mage_SalesRule/> <Mage_Wishlist/> </depends> </Mage_Rss> |
Bots für Preisvergleiche, Warenbestände etc |
| Hoch | HTTP Request Timeout |
|
HTTP DOS Attacken, Abwehr Sloris / Loic |
| Mittel | Referrerspam |
Kontrolle Logbuch Webserver Blockiern betreffender Referrer in der Datei .htaccess wie folgt SetEnvIfNoCase Referer buttons-for-website.com spammer=yes SetEnvIfNoCase Referer seoanalyses.com spammer=yes SetEnvIfNoCase Referer magento-crew.net spammer=yes Order allow,deny Allow from all Deny from env=spammer |
|
| Mittel | Spambots |
|
|
| Niedrig | Server Status |
|
|
Überblick
eCommerce Shops wie Magento, werden heute massenhaft aus dem Internet attackiert. Die Vorstellung, es betrifft nur große Unternehmen erweist sich als falsch. Schon längst dient Ihre Magentoshop als Knecht zahlreicher "Ausbeutungen". Als solche wären zu benennen:
- Installation von Malware
- Wirtschaftsspionage Preis / Produkte
- Kommentar Spam (-> SEO)
- Referer Spam
- Ranking von Produkten
- Zugang Admin Magento Shop
- Duplicate Content (-> Negativ SEO)
- Ausfall Online-Shop (-> Konkurrenz)
- Bewertungsspam
Sie können getrost davon ausgehen, dass in dem harten Wettbewerb auch Konkurrenten gezielt zu negativen Maßnahmen greifen um sich Vorteile zu erarbeiten, auch wenn das gegen zahlreiche Gesetze verstößt. Beauftragt werden hierzu Dienstleister in Drittländer wie China, Rußland, Indien usw.
Dort ist häufig der Ursprung zu finden für zahlreiche automatisierte Aufrufe (HTTP Requests), die nur darauf abzielen Konfigurationen am Server und Magento Shop auszunutzen. Daneben gibt es zahlreiche "Bots" (Synonym: Spider, Crawler), die für die meisten deutschen Online Shops kaum von Bedeutung sind.
Was interessiert Sie als Shop Betreiber ob Yandex (Russland) oder Baidu (VR China) Ihre Seiten indexiert?
Selbst aus SEO Gründen mag der Nutzen nur wenig einleuchten. Daneben gibt es eine Inflation an Online oder Webdiensten Diensten allerlei Optimierungen:
- SEO Optimierung
- Content Optimierung
- Shop Optimierung
- Web Alerts
- Marken- und Urheberrechts Dienste
Viele greifen Ihre Daten ab ohne, dass Sie einen meßbaren nutzen haben - allerhöchsten die Konkurrenz oder sonstige Dritte.
Wie so oft, kommt es darauf an. Machen Sie eine Nutzwertanalyse und prüfen Sie was Ihnen mehr Vorteile bringt. Sind 99% Ihrer Kunden aus den D-A-S Ländern und greifen nicht gerade über internationale Firmennetze auf Ihren Magento Shop zu, dann kann das sperren von Netzwerkbereichen aus unsicherer Ländern eine Lösung sein.
Einige Magento Extensions versprechen Hilfe gegen die vielen Spambots, jedoch arbeiten die Codes auf der Shopebene. Um so tiefer man auf Server oder Netzwerkebene einsteigt um so größer sind Möglichkeiten, bei gleichem Aufwand.
Fazit
Bis auf ein paar wichtige Suchmaschinen und Register brauchen viele Projekte die zahlreichen automatisierten Besucher nicht. Einige Bots suchen gezielt nach Sicherheitslücken, die oft bei kleineren Projekten, wegen schwächerer Betreuung einfacher zu finden sind. Als Resultat dient Ihr Shop dann für viele "negativen Geschäftsmodelle" ferner Länder.
Weiterführende Informationen
Bots / Spambots
- http://rubyrobot.org/article/protect-your-web-server-from-spambots
- https://perishablepress.com/blackhole-bad-bots/
- https://swissuplabs.com/magento-extensions/magento-bot-protection.html
- https://www.botfrei.de/de/werkzeuge/sicherheitschecks.html
Magento Sicherheit
Blockieren von Zugriffen
- http://www.askapache.com/htaccess/htaccess/#Blocking_based_User-Agent_He...
- https://www.maxmind.com/en/geoip2-services-and-databases
Tools
- http://www.acunetix.com/free-network-security-scanner/
- https://gist.github.com/steakknife/1865841
- https://www.abuseipdb.com/check/
- https://geekflare.com/online-scan-website-security-vulnerabilities/
Server Module (Apache)
- mod_security - https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual
- mod_geoip2 - Sperren von IP Netzwerken Spamverdächtiger Quellen