Så upptäcker du säkerhetsrisker i din Magentobutik

E-handelns viktigaste tidsperiod närmar sig med stormsteg. Lagom till uppladdningen av Black Friday och julhandeln beslutade sig IT-säkerhetsbolaget Detectify för att analysera säkerhetsstatusen på 30 000 av världens största Magento-butiker. Resultatet visar att många nätbutiker gör allvarliga misstag och tyvärr är det alltför många e-handlare som inte prioriterar säkerhet på samma sätt som leveranstider, prestanda eller kundsupport. I den här artikeln får du veta resultatet av Detectifys research och deras fem bästa tips på hur du kan säkra din e-handel.

Så säkra är världens största Magentosajter

För att få en uppfattning om hur säkerheten på ledande Magentobutiker såg ut valde Detectifys säkerhetsteam att analysera 30 000 av de största sajterna enligt Alexa-ranking. Att fokusera på stora nätbutiker var viktigt då en vanlig uppfattning är att det enbart är inaktiva hobbybutiker som är sårbara. Testgruppen kollades sedan för tre publika sårbarheter samt om de tvingade HTTPS, en åtgärd som hindrar obehöriga att avlyssna din internettrafik.

Konfigurationsfil som läcker information på 500 sajter

/app/etc./local.xml är en konfigurationsfil som innehåller dolda sökvägar till både adminpanelen och databaslösenordet – något du av naturliga skäl vill hålla undangömt för potentiella hackare. Det här är en gammal sårbarhet, så använder du en uppdaterad version av Magento drabbas du lyckligtvis inte av detta. Det är dock 500 av världens främsta Magento-butiker som fortfarande är sårbara.

Exponerad orderhistorik på 1500 sajter

Nästa sårbarhet: /RSS/order/NEW/new. Detta är ett API för orderhistorik som inte kräver någon autentisering på serversidan. Det innebär att i princip vem som helst kan få tillgång till din känsliga orderhistorik, inklusive kunders personuppgifter. Sårbarheten fixades för två år sedan, så använder du en uppdaterad version av Magento så är du inte sårbar. Tyvärr är det 1500 av världens största e-handelsbutiker som är det.

7000 exponerade adminpaneler

Genom att lämna administratörpanelen exponerad på www.example.com/admin så gör du det betydligt enklare för hackare att ta sig in. Magento genererar en varning om detta sker, men 7000 av nätbutikerna har uppenbarligen ignorerat varningen och exponerar än i dag sin administratörpanel.

50% saknar HTTPS by default

Att skydda kunder genom att säkerställa att de surfar på en krypterad sida (kallas även att köra HTTPS eller SSL) blir allt vanligare och bör vara praxis för företag som hanterar känslig information så som kreditkortsuppgifter. Trots detta är det hälften av webbutikerna som inte använder HTTPS som standard, vilket är bedrövligt.

Tidigare i höst rapporterades det att forskare har lyckats knäcka WPA2 – krypteringen som skyddar ditt wifi-trafik från att bli avlyssnad. Om din sajt hade använt HTTPS som standard så hade inte dina kunder behövt oroa sig för att någon kan plocka upp deras inloggningsuppifter eller kreditkortsuppgifter när de besöker din sida.

5 snabba säkerhetstips från Detectifys experter

1. Håll din plattform uppdaterad

Detta gäller alla e-handelsplattformar och inte bara Magento. I samband med att nya versioner släpps så fixas oftast de sårbarheter i tidigare versioner. Det gör att du slipper otäcka sårbarheter som de som Detectify har kollat i sin undersökning.

2. Se till att din adminpanel inte är exponerad

Att ha en exponerad adminpanel är inte en kritisk sårbarhet i sig, men breddar attackytan och gör det enklare för hackaren att komma åt ditt lösenord och värdefull data.

3. Kryptera din sajt

Att kryptera sin sajt och tvinga HTTPS borde vara en hygienfaktor vid det här laget. Dina användare kan inte förväntas att manuellt byta över till HTTPS (själva knappa in s:et efter http när de skriver in din webbadress).

4. Använd ett starkt lösenord

Svaga och lättgissade lösenord som password, 123456 och admin är fortfarande förvånande vanliga. Om du behöver hjälp med att generera och minnas starka lösenord, så är Detectifys rekommendation att använda en lösenordshanterare.

5. Monitorera din säkerhet

Att hålla dig uppdaterad med de senaste sårbarheterna är tidskrävande, men lyckligtvis kan automatisering underlätta säkerhetsarbetet rejält. Tjänster som exempelvis Detectify fungerar som en säkerhetsscannar för webbapplikationer och letar efter sårbarheter åt dig så att du kan åtgärda dem innan hackare kommer åt dem.

 

Gästbloggare: Linus Särud

Gästbloggare: Linus Särud

Linus Särud börjarde intressera sig för it-säkerhet redan som 13-åring. Trots att han endast är 18 år har han bland annat hittat allvarliga säkerhetsbrister i Googles system, skrivit om it-säkerhet för IDG Sverige och jobbar som Security Researcher på it-säkerhetsbolaget Detectify vid sidan av sin skolgång på gymnasiet. På Detectify ansvarar han både för att leda omfattande säkerhetsundersökningar, skriva artiklar och guida kunder i supporten.

Följ Gästbloggare: Linus Särud på

Kommentarer (0)

Det finns inga kommentarer än

Bli den första som kommenterar inlägget.