9 Tips voor een veilige Magento webshop

9 tips voor een veilige Magento webshop

Beveiliging is een van de belangrijkste aandachtspunten voor webshops. Het is daarom geen verrassing dat we het belangrijk vinden om dit onderwerp vaak onder de aandacht te brengen. Bedrijven besteden doorgaans veel tijd, middelen en geld aan het maken van een spectaculaire webshop, waarbij niet altijd goed wordt nagedacht over de beveiliging. Zo bleek uit een vrij recent onderzoek van GOV.UK dat 32% van de bedrijven te maken had met cyberaanvallen, waarbij 48% van deze bedrijven minstens één inbreuk per maand had. Meestal omvatten deze aanvallen activiteiten als spam, phishing of gestolen klantgegevens. Erg zorgwekkend. En als je bedrijf hiermee in strijd is met de AVG-wetgeving, kan dat leiden tot hoge geldboetes. Wederom genoeg redenen om jouw webshop beveiliging onder de loep te nemen.

In tegenstelling tot veel platforms waar beveiliging te versterken is met een plug-in, biedt Magento een aantal kant-en-klare beveiligingsopties, ingebouwd in de kern van jouw Magento webshop. Deze opties hebben we gecombineerd met onze tips voor een veilige Magento webshop.

Volg onderstaande 9 tips en houdt jouw Magento webshop veilig.

1. Gebruik de nieuwste versie van Magento

Soms is het makkelijker om op een bestaande versie te blijven draaien dan te updaten naar de nieuwste versie. De webshop draait prima op de huidige versie en er is geen noodzaak om te updaten. Waarom moet je dan updaten? Een platform is continu in ontwikkeling om het beter, stabieler en veiliger te laten draaien. Door jouw webshop niet te updaten lever je in op performance en je maakt jouw webshop een makkelijker doelwit voor hackers. In een eerdere blog schreven we al over ‘De beveiligingsrisico’s van verouderde software’.

Dus patch vroeg en patch vaak, maar test eerst zorgvuldig op een Magento 2 ontwikkelomgeving voordat je de patch doorvoert op de live omgeving. Hulp nodig bij het patchen van Magento 2? Indien nodig kunnen we je in contact brengen met een geschikte ontwikkelaar – vanuit ons zorgvuldig geselecteerde partnernetwerk.

2. Gebruik een SSL-certificaat

Een SSL-certificaat is een belangrijk symbool van vertrouwen. Het gebruik van een SSL-certificaat toont aan dat je professioneel en veilig omgaat met de privacygevoelige informatie van klanten. Cybercriminelen hebben daardoor geen toegang tot de gegevens die worden verzonden tussen de webserver (server) en client (webshop). Daarmee voorkom je de kans op een datalek en dus hoge geldboetes. Een ander bijkomend voordeel is dat webshops die gebruik maken van HTTPS beter scoren in zoekmachines. Sterker nog, zoekmachines straffen websites zonder HTTPS en tonen een ‘Melding ‘Not secure’ bij websites zonder SSL’.

SSL bij Skyberate

Bij Skyberate heb je keuze uit de SSL-certificaten; AutoSSL, Domain Validation (DV) SSL, Wildcard SSL en Extended Validation (EV) SSL. AutoSSL is standaard inbegrepen bij elk hostingpakket, de andere SSL-certificaten kunnen los besteld worden. Hoe uitgebreider het certificaat, hoe betrouwbaarder je overkomt op bezoekers. Zeker voor webshops is een uitgebreid certificaat wenselijk.

Wil je meer weten waarom je voor een gratis of betaald SSL-certificaat moet kiezen? Lees dan ons artikel ‘Waarom een betaald SSL-certificaat meer vertrouwen uitstraalt?’ Of neem contact op met onze servicedesk. Ze kunnen je helpen bij het maken van de juiste keuze. Ook installeren wij het SSL-certificaat en ontfermen we ons over het verlengen.

3. Doorloop regelmatig de customer journey

Hoe vaak heb je de stappen doorlopen die een klant volgt bij het plaatsen van een artikel in het winkelmandje of het plaatsen van een bestelling? Een effectieve en simpele manier om jouw Magento webshop veilig te houden, is door regelmatig vanuit het oogpunt van jouw gebruiker te kijken. Plaats jezelf in de schoenen van jouw klanten, volg de journey en ontdek realtime problemen – maar ook kansen – in het aankooptraject.

4. Gebruik alleen betrouwbare extensies

Iedere webshop maakt gebruik van extensies om extra functies toe te voegen om zo de best mogelijke ervaring te creëren. Extensies zijn wezenlijk een verrijking voor jouw webshop wanneer goed gekozen, maar kunnen jouw webshop ook in gevaar brengen, waardoor hackers eenvoudiger toegang krijgen tot vertrouwelijke informatie. Dit wil je ten alle tijden voorkomen. Denk goed na over het wel of niet installeren van extensies van derden. Doe onderzoek, bekijk YouTube-video’s, forums en reviews en kies alleen een betrouwbare extensie die regelmatig wordt onderhouden en bijgewerkt.

Verander en beveilig de Admin-URL

5. Verander en beveilig de admin-URL

Iets eenvoudigs als het wijzigen van jouw admin-URL levert een grote bijdrage aan de beveiliging van jouw webshop. In tegenstelling tot veel andere platforms, waarbij iedere nieuwe website of webshop dezelfde admin-URL krijgt, laat Magento 2 zien hoe het wel moet. In plaats van een generieke URL zoals ‘/beheerder’ of ‘/admin’, genereert Magento 2 automatisch een complexe, unieke URL, zoals ‘/admin3d4g5f’. Iedereen die toegang probeert te krijgen tot jouw webshop, moet eerst de URL raden, een moeilijke taak waardoor de meeste hackers zullen afhaken.

WordPress is een van de platformen die iedere website dezelfde admin-URL geeft. Voeg snel een extra beveiligingslaag toe. Lees ons blog ‘Verander en beveilig je WordPress Login URL’.

Aantal inlogpogingen minimaliseren

Het kan voorkomen dat iemand het toch voor elkaar krijgt om toegang te krijgen tot jouw admin-URL. Om te voorkomen dat deze persoon eindeloze combinaties kan proberen, kun je het aantal inlogpogingen maximaliseren. Via ‘Stores > Settings > Configuration > Advanced > Admin’ kun je in het ‘Maximum Login Failures to Lockout Account’ veld, beslissen hoe vaak een gebruiker een verkeerd wachtwoord mag opgeven voor het account wordt geblokkeerd. Ook adviseren we om het aantal minuten op te geven dat een account is vergrendeld voordat de gebruiker zich opnieuw kan aanmelden. Dit is super effectief tegen Brute Force Attacks.

6. PCI-compatibel zijn

PCI is een acroniem voor ‘Payment Card Industry’ en staat voor een reeks regels en voorschriften om creditcardfraude te verminderen. De – in 2006 gecreëerde – beveiligingsstandaard is er om de kaarthouder gegevens gedurende het transactieproces te beschermen. Het geeft jouw webshop een extra beveiligingslaag, waardoor deze betrouwbaarder overkomt in de ogen van je bezoekers. En met de verschuiving van offline naar online is PCI-compatibel zijn een noodzaak voor iedere webshop, groot of klein.

7. Controleer de beheerders

Naarmate jouw Magento webshop langer bestaat groeit het aantal beheerdersaccounts. Bijvoorbeeld door het wisselen van marketeer, ontwikkelaar of product manager. Accounts raken verouderd en onbeheerd en worden een beveiligingsrisico. Daarom is het slim om regelmatig de beheerders te controleren en diegenen, die het platform niet gebruiken, te verwijderen. Ook kun je op regelmatige basis vragen om het wachtwoord te wijzigen en Two-Factor Authentication toe te passen. Goed om te weten is dat 2FA één van de kant-en-klare beveiligingsopties is en dus standaard inbegrepen.

Two-Factor Authentication

Breng jouw inlogbeveiliging naar een hoger niveau met Magento’s Two-Factor Authentication. Two-Factor Authentication, afgekort 2FA. De naam zegt het eigenlijk al; authenticatie in twee stappen. Met de Two-Factor Authentication kan een hacker niet meer simpelweg inloggen op jouw webshop met alleen een gebruikersnaam en wachtwoord. Vaak gebruiken dit soort beveiligingssystemen een security-token. Er wordt dan vaak gevraagd om een extra code die je moet invoeren, dit duurt een paar seconden.

Zorg voor een webshop herstelplan

8. Zorg voor een herstelplan

Het toepassen van bovenstaande beveiligingstips helpt aanvallen te voorkomen. Echter kan er altijd wat gebeuren waardoor het alsnog misgaat. In dat geval is een herstelplan van grote waarde. Zoals Benjamin Franklin ooit zei: “Door je niet voor te bereiden, bereid je je voor om te falen”. Maar wat is een herstelplan? Een herstelplan kan bestaan uit iets simpels als het regulier maken van een back-up en deze op regelmatige basis te testen.

Het regelmatig – liefst dagelijks – maken van een back-up van jouw webshop kan de impact van een aanval de kop indrukken. Met een dagelijkse back-up heb je in ieder geval de meest recente gegevens en kun je jouw webshop snel weer up- en running hebben. Vergeet niet om deze te testen zodat je zeker weet dat de back-up is wat je ervan verwacht én weet hoe je deze snel kunt terugzetten.

Back-ups bij Skyberate

Webshop gehost bij Skyberate? Dan maken we standaard iedere nacht een back-up van jouw webshop. Deze back-ups bewaren we 30 dagen voor je. Mocht er iets misgaan met je webshop, dan kun je bij ons terecht voor een back-up. Dat we een back-up maken moet je er nooit van weerhouden om dit zelf dagelijks, maandelijks of periodiek te doen.

9. Zorg voor goede hosting

Beveiliging op webshop-niveau is cruciaal, maar ook beveiliging op serverniveau is onmisbaar. Bovenstaande tips zijn een paar stappen in de juiste richting, maar beveiliging aan de serverkant vergeet men vaak. De beveiliging van een webshop begint op serverniveau – daar is je hostingpartij verantwoordelijk voor.

Bij Skyberate nemen we de beveiliging van bij ons gehoste webshops uitermate serieus. Veiligheid van data en de security van jouw webshop zijn bij ons topprioriteit. Door onze hardware in ISO27001-gecertificeerde Nederlandse datacenters te plaatsen en enkel te kiezen voor partners die werken volgens dezelfde filosofie, kunnen we een veilig omgeving garanderen.

Interesse in Magento hosting? Bekijk onze pagina voor meer informatie. Kom je ergens niet uit of wil je gewoon tips, aarzel niet om een chat te starten met onze Magento hosting experts.

Git-ondersteuning

Onze Magento hosting pakketten ondersteunen standaard Git. Met Git kun je jouw workflow stroomlijnen en het updaten van jouw Magento webshop soepeler laten verlopen. Daardoor kunnen onder andere wijzigingen met meer gemak doorgevoerd worden en waar nodig worden teruggedraaid.

Kortom

Een goede webshop beveiliging start bij jezelf: het kiezen van een betrouwbare hostingpartij, het maken van verstandige keuzes over jouw webshop beheer en de extra inspanningen om meerdere beveiligingslagen in te bouwen.

We hebben negen stappen uiteengezet die je kunt toepassen om jouw webshop (beter) te beveiligen. Dit zijn enkele van de vele tips die er zijn om jouw webshop dicht te timmeren voor hackers.

Neem de beveiliging van jouw webshop serieus en bereid jezelf voor om ‘niet te falen’. Want voorkomen is beter dan genezen.