Sådan opnår du et højt sikkerhedsniveau med din Magento webshop
Stabil drift og et højt sikkerhedsniveau på din webshop er kedelige emner for de fleste. Måske er det også derfor at disse emner ikke tages seriøst af mange webshopejere. Det er synd og det bør der i den grad laves om på, da det nemt kan blive meget dyrt ikke at gøre det.
I denne guide giver vi alle webshopejere en række grunde til at forbedre sikkerheden, samt ideer til indsatsområder. Guiden er målrettet websjopejere med Magento webshops, men rådene kan nemt følges af folk med andre shopsystemer også.
- Vælg den rigtige hostingløsning
- Hold Magento opdateret
- Hold dine moduler opdateret
- Hold din WordPress blog opdateret
- Brug gode passwords
- Hold øje med hvem der har adgang til din shop
- Brug sikre forbindelsesmetoder
- Gør det ekstra svært for hackere at gøre skade
- Skift til SSL (https)
- Vælg en god backupløsning
- Hvem ringer du til når uheldet er ude?
- Har du spørgsmål?
Vælg den rigtige hostingløsning
Når det handler om stabil drift, hastighed og sikkerhed så har valg af hostingudbyder rigtig meget at sige.
Det er vigtigt at du vælger en leverandør der har forstand på hvilke krav shopsystemet stiller til hardware, serverkonfiguration, performance og ikke mindst sikkerhed. Vælger du at placere dit webshop på et webhotel, hvor du selv er ansvarlig for alt der har med shopplatformen at gøre, så kan du hurtigt komme i en uhensigtsmæssig situation.
Det er bedst at overlade alt ovenstående, samt daglig backup, til nogen der ikke kun kender alt til serverdrift, men også til shopplatformen. Derudover bør de sørge for at PHP, MySQL og operativsystem på serveren kører på en sikker version.
Så et råd herfra: Vælg nu en hostingudbyder der har styr på hvad de laver og som tager ansvar for sikkerhed og backup.
Hold Magento opdateret
Det er vigtigt at du holder øje med om din Magento webshop (eller et andet shopsystem) trænger til en opgradering. Der vil jævnligt komme nye versioner eller subversioner til enhver webapplikation, og det er vigtigt at følge med i hvad de indeholder.
Du behøver ikke opgradere hver gang der kommer en ny version eller en sikkerhedspatch, men så snart de indeholder ændringer der lukker kritiske sikkerhedshuller, så bør du opgradere.
Brug dette værktøj til at tjekke om din Magento shop er sårbar og trænger til en opgradering eller en sikkerhedspatch. Gør du ikke det, er det meget nemt for hackere at få adgang til din webshop, og det kan skabe et pokkers bøvl og det er noget du kan miste mange penge på.
Hold dine moduler opdateret
Det er samme historie med de moduler du anvender på din webshop. Der opdages også sikkerhedsbrister i disse, og ddet bør der også tages hånd om.
Hold øje med dine moduler, og især om der udgives nye versioner af dem der lukker kristiske sikkerhedshuller.
Hold din WordPress blog opdateret
Mange Magento webshops har en WordPress blog installeret i en subfolder eller på et subdomæne på samme webhotel. Det er naturligvis også vigtigt at du holder den opdateret, samt alle de forskellige plugins du anvender på den.
Derudover vil vi anbefale at du opretter en separat database til bloggen, sådan den ikke blandes sammen med databasen fra din Magento shop.
Brug gode passwords
Sørg for at have en god password politik. Det vigtigste er at du laver gode passwords til alle dem med adgang til din shop. Det er også en fordel at have gode passwords til din(e) databaser og din sFTP bruger.
Hvad er et godt password?
Et godt password:
- Består af mindst 8 tegn (gerne flere end 16) og er en blanding af små og støre bogstaver, tal og specialtegn. Brug evt. denne password generator.
- Gemmes ikke lokalt på din computer.
- Sendes ikke i emails.
- Udskiftes så snart du har mistanke om at der foregår noget skummelt – og gerne hver tredje måned helt systematisk.
- Bruges KUN ét sted.
Har du brug for at give passwords til andre, så send halvdelen af passwordet på email og den anden halvdel via en chat eller i en telefonbesked. Og gør det uden at nævne hvad det skal bruges til.
Brug en password manager
Det er en stor fordel at benytte en password manager. Det giver dig både en mere sikker på at opbevare dine passwords på og det gør samtidig dit liv MEGET nemmere. Især når du af og til har behov for at dele passwords med andre mennesker.
Jeg kan anbefale LastPass.
Hold øje med hvem der har adgang til din shop
Tjek jævnligt hvem der har adgang til din shop. I udviklingsfasen er det naturligt at en del udviklere har behov for adgang til både Magento backend sFTP og måske også direkte til databasen. Sørg for at ændre password på alle disse efterfølgende, og slet (eller skjul) de brugere der ikke længere skal have adgang.
Brug sikre forbindelsesmetoder
Brug altid sFTP i stedet for FTP. Er det ikke muligt, så forbind med FTP med TLS, da det er mere sikkert. Brug en moderne FTP klient hvor dette er muligt. F.eks. FileZilla.
Gør det ekstra svært for hackere at gøre skade
Hackerangreb har altid været der, men de lader til at blive flere og flere. Og det er ganske udbredt for hackere at udnytte sikkerhedsbrister i systemer der har mange brugere, som f.eks. Magento.
Sørger du for at holde din Magento webshop opgraderet, er det meget sandsynligt at hackerne ikke bruger tid på din shop. Og laver du yderligere tiltag for at gøre det sværere for hackerne at bryde ind, så vil de næsten med sikkerhed forsøge at finde et andet offer, hvor de nemmere kan få adgang.
For at gøre det ekstra svært for hackere kan du implementere nogle af nedenstående tips. Har du ikke selv styr på hvordan du gør, så bed dit webbureau om hjælp.
Undgå klassiske brugernavne som f.eks. “admin” til din backend
Vælg et unikt brugernavn til din Magento konto. Undgå “admin” og lignende standard brugernavne, som hackere kender.
Omdøb din admin sektion
Omdøb din admin sektion, så den ikke hedder /admin men noget specielt der kun gælder for DIN webshop.
Giv kun adgang til bestemte IP adresser
Sørg for at det KUN er bestemte IP adresser der har adgang til din admin sektion.
Skift til SSL (https)
Vi har allerede lavet en guide om at sætte https på en Magento shop og en anden artikel om hvorfor alle webshops bør skifte til SSL med det samme, så det vil vi ikke gå yderligere i dybden med i denne artikel.
Backup
Daglig backup er essentielt for enhver webshop, og ikke mindst også hvis du er blevet ramt af et hackerangreb. Backup relaterer også lidt til valg af hostingleverandør, da du skal forvente at de har styr på den slags.
Du skal dog også være så paranoid at du ikke stoler på din webhosts backup. I hvert fald har der været historier om hostingfirmaer, der af den ene eller anden årsagikke har haft ordentlig styr på deres backup, når uheldet var ude.
Derfor at det fint hvis du også af og til selv laver backup af filer og database. Enten manuelt eller at du får det sat i system med et backup modul til Magento.
Hvem ringer du til når uheldet er ude?
Du bør tage sikkerhed MEGET seriøst og gøre alt hvad du kan for at undgå at blive udsat for et hackerangreb, men du bør også have plan b klar hvis uheldet er ude. For uanset hvor godt du forsøger at sikre dig, så er det aldrig nok til at holde en dygtig og målrettet hacker ude.
Derfor skal du vide hvad du vil gøre hvis skalden er sket. Har du nogen du kan ringe til for at få hjælp?
Skal vi give din Magento webshop et sikkerhedstjek? Du er velkommen til at kontakte os med din forespørgsel.
Har du spørgsmål?
Har du tilføjelser til denne guide eller spørgsmål, så er du meget velkommen til at skrive en kommentar herunder.
Super fin artikel – især passagen omhandlende backups. Nøj det har været guld værd for os – det er simpelthen essentielt. Vi har haft store problemer med DDoS angreb – har du/I nogle gode værktøjer hertil?
Hej Kristian
Mange tak. :-)
I forhold til DDoS angreb og lignende udefrakommende gener, så anbefaler vi altid at man placerer sin webshop hos en webhost der har ansvar for denne del – og styr på at løse det hvis/når det sker.
Hej igen Henrik,
Tak for det hurtige svar!
Har du nogle bud på, hvem der kan bruges? Synes ikke umiddelbart vores nuværende har taget hånd om det…
Hej Kristian
Jeg vil give mine varmeste anbefalinger til Powerhosting/Magentohotel.
Hej Henrik
Jeg har flere hjemmesider der er bygget på wordpress.
Er lige gået igang med et nyt projekt med opskrifter, og vil meget gerne have alt på plads fra starten så vi ikke skal spille for meget i det senere hen. Derfor har jeg lige 1 spørgsmål som bliver delt op til 2 :)
Der findes utal af backup og sikkerhedsløsninger som plugins.
Kan du anbefale nogle gode backup plugins samt sikkerhed altså wordfence eller andet?
Rigtig god artikel forresten.
Mvh. Alexander
Hej Alexander
Selvom jeg også arbejder lidt med WordPress, så ved jeg ikke nok til at svare på dit spørgsmål.
Vi er dygtige til TYPO3 og Magento, men ved knap så meget om WordPress.
Måske er der andre der kan svare?
Hej Alexander
Der findes efterhånden så mange muligheder vedr. backup og sikkerhed.
Jeg bruger selv BackWPUp som er gratis. Men UpdraftPlus og VaultPress er også gode bud – med flere muligheder, men selvfølgelig betalt.
Mht sikkerhed, så har jeg brugt iThemes Security for det meste. Har mange gange overvejet Sucuri bla fordi jeg bruger deres gratis Sitecheck tool, men de er ikke helt billige. Til gengæld har de en fed oprydningshjælp, hvis man er blevet ramt, af hvad jeg har hørt :-)