Magento Grundkurs (2012)

Sicherheit

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Es ist wichtig, bereits während der Installation von Magento mehrere Sicherheitsaspekte zu bedenken. Dieses Video zeigt die wichtigsten Einstellungen, um die Sicherheit des Shops auf einem möglichst hohen Standard einzurichten.
10:07

Transkript

Ich möchte in diesem Video noch einmal zusammenfassend auf die wichtigsten Aspekte der Server- und Softwaresicherheit im Zusammenhang mit Magento eingehen. Allgemeine Sicherheitsaspekte sind natürlich, dass Sie den FTP-Zugang lieber nicht verwenden sollten, denn bei FTP werden Ihre Benutzerdaten unverschlüsselt über das Internet übertragen. Eine bessere Alternative ist eine verschlüsselte Verbindung über SFTP oder noch besser: Der Direktzugriff über SSH. Ebenfalls sollten Sie sicher stellen, dass Ihr Datenbankserver über das Internet nicht direkt aufgerufen werden kann, Sie sehen das hier auch in meiner Konfiguration der Installation, mein Datenbankserver reagiert nur unter dem Local Host, das heißt innerhalb der eigenen Server Umgebung. Gerade beim Installationsprozess von Magento, können Sie schon einige Sicherheitsfunktionen aktivieren. Sehen wir hier zum Beispiel die Konfiguration der Datenbank, dann haben wir im letzten Teil dieses Eingabebereichs das Tables Prefix Eingabefeld. Der hier eingetragene Wert wird allen Tabellennamen in Magento vorangestellt. Dieses einfache Mittel sorgt dafür, dass Angreifer den Tabellennahmen nicht mehr einfach erraten können, denn alle Installationen von Magento verwenden den gleichen Tabellennamen und können nur über ein Präfix individualisiert werden. Sie sollten diese Sicherheitsfunktion also unbedingt nutzen. Wenn Sie ein Tabellen Prefix verwenden möchten, können Sie das ganz einfach tun indem Sie hier eine Zeichenfolge eingeben. Und achten Sie bitte darauf, dass Sie nur Buchstaben, Ziffern und den "_" benutzen. Ein weiteres Sicherheitsfeature ist die Änderung des Adminpfades. Dieser Adminpfad wird an Ihre Basis URL gehängt und unter diesem Pfadnamen ist Ihr Adminpanel erreichbar. In fast allen Magento Installationen ist der Wert Admin eingetragen und belassen worden, sodass ein Angreifer diesen Pfadnamen nur raten braucht und bereits zur Login Maske Ihres Shops gelangt und dort die Passwortdaten perbrute force also per einfachem ausprobieren, herausfinden kann. Wir ändern diesen Wert einfach in einen Wert, den sonst kein Mensch weiß, also in meinem Fall hier "darauf kommt kein Mensch". Zusätzlich für meine Installation deaktiviere ich hier noch die Überprüfung meiner lokalen Installationsdomain, denn diese ist von außen nicht aufrufbar und ich aktiviere auch die Webserver rewrites für die sprechenden URLs. Im nächsten Schritt ist es wichtig, die SSL-Verbindung zu konfigurieren. Eine SSL-Verbindung verschlüsselt die Kommunikation zwischen dem Server und Ihrem Computer von einem zum anderen Ende, sodass bei der Übertragung der Daten keine Klartextinformationen übertragen werden. Wichtig ist es hierbei, den Adminbereich in die SSL-Verbindung zu inkludieren. Auch hier deaktiviere ich die Prüfung der SSL-Verbindung und nur in meiner lokalen Entwicklungsumgebung muss ich auch diese URL anpassen, da ich kein HTTPS-Protokoll in meiner lokalen Umgebung unterstütze. Nach Eingabe dieser Daten führe ich hier die Installation fort. Und habe im nächsten Schritt noch eine Möglichkeit, wie ich die Sicherheit meines Shops erhöhen kann. Bei der Eingabe meiner persönlichen Admindaten, gebe ich natürlich ganz normal meinen Namen und meine E-Mail Adresse an, allerdings lege ich dann persönlich Wert darauf, dass mein Benutzername für das Login im Back End nicht Administrator, Verwalter oder Admin lautet, sondern etwas anderes, bei dem es schon schwieriger wird, diesen Usernamen zu erraten. Und ebenso mein Passwort enthält neben Buchstaben und Zahlen Sonderzeichen. Der letzte Punkt auf dieser Seite ist der sogenannte Encryption Key. Magento verwendet die hier eingegebene Zeichenfolge zum Verschlüsseln sensibler Daten, die in der Datenbank abgelegt werden. Sie können den Encryption Key leer lassen, Magento wird daraufhin einen eigenen Encryption Key erzeugen. Das Problem bei automatisch erzeugten Encryption Keys hier ist, dass der dazugehörige Programmcode auch von einem Angreifer angesehen werden kann. Daher empfiehlt es sich einen Encryption Key zu verwenden, der nicht von Magento selbst erzeugt wurde. Dazu kann ich Ihnen eine Website empfehlen. Unter randomkeygen.com sehen Sie eine Website, die verschiedene Schlüssel bereits vorgerendert ausgibt. Diese Schlüssel sind alle aus Zufallswerten entstanden und so kann ich mir hier einfach einen Wert herauskopieren und in meinen Encryption Key einsetzen. Nun kann ich mit der Installation fortfahren und Magento wird zukünftig die sensiblen Daten mit diesem Security Schlüssel verschlüsseln. Bei der täglichen Arbeit mit Magento ist es auch sinnvoll, einen anderen Benutzer als den Administrator Account zu verwenden. Wir können dies einrichten, indem wir uns im Back End anmelden und im Menüpunkt Systemberechtigung eine neue Berechtigung anlegen. Von Haus aus bietet Magento nur die Administratoren Berechtigung, die Zugriff auf alle Systeme in Magento besitzt. Wir legen uns eine neue Berechtigung an und geben dieser einen Namen, zum Beispiel "Produktmanager" und diese Berechtigung darf ausschließlich im Katalog arbeiten. Und dabei auch nur in ganz bestimmten Teilbereichen und zwar in der Bearbeitung der Artikel, der Kategorien, der Suchbegriffe und der Attribute. Ansonsten hat dieser Benutzer keinerlei Zugriffe auf unser System. Es sind keine weiteren Checkboxen markiert und damit werden diese Menüpunkte auch ausgeblendet und bei einem Direktaufruf entsteht eine Fehlermeldung. Die Gruppenberechtigung wird gespeichert, ich sehe jetzt hier zwei, nämlich einmal die Administratoren und einmal die Gruppe "Produktmanager". Im nächsten Schritt lege ich mir einen neuen Benutzer an, der ausschließlich die Produkte bearbeitet. Der neue Benutzername lautet "pmanager" für Produktmanager, er kriegt auch wieder einen Namen und eine neue E-Mail Adresse und ein eigenes Passwort und auch hierbei achten wir darauf, dass das Passwort aus Buchstaben, Zahlen und Sonderzeichen besteht. Das Benutzerkonto ist aktiv und es erhält jetzt die Gruppenberechtigung "Produktmanager". Wenn ich diesen Benutzer speichere, sehen wir jetzt zwei Einträge, einmal meinen Administrator und einmal meinen Produktmanager. Ich melde mich jetzt ab und melde mich mit meinem Produktmanager neu an. Und nun können Sie sehen, dass das Benutzer Back End deutlich eingeschränkt ist. Der Menüpunkt System ist verschwunden und damit ist der Zugriff auf die Systemkonfiguration bereits verhindert. Der bei der Installation eingerichtete Adminpfad "darauf kommt kein Mensch", sollte auch regelmäßig geändert werden. Loggen Sie sich dazu mit Ihrem Administrator-Account ein und wechseln Sie unter dem Menüpunkt System in den Bereich Konfiguration. In der Konfiguration finden wir links eine Menüleiste mit sehr vielen Einträgen und der für uns wichtige ist ganz am Ende, in "Admin" zu finden. Unter "Admin Basis URL" können wir nun einen neuen Adminpfad hinterlegen. Bitte achten Sie darauf, dass Sie auch eine eigene Admin URL eingeben können und damit würden Sie hier vorne den Domain Namen verändern. Wenn Ihnen dabei ein Fehler unterläuft, können Sie sich zukünftig ohne Eingriff in die Datenbank nicht mehr in Ihrem Shop anmelden. Wir wählen also "Verwende eigenen Adminpfad", wählen "Ja" aus dem Drop Down aus und geben einen eigenen Admin URL Pfad unten ein. So, das hatte ich vergessen: Die Konfiguration wird gespeichert und danach werden Sie vom Back End abgemeldet und Sie sehen hier oben, dass sich die Adresse schon geändert hat. Ich versuche mich nun wieder anzumelden unter der neuen Adresse. Und siehe da: Es hat funktioniert, wunderbar. Sie sollten die verwendeten Passworte für alle Ihre Benutzer in regelmäßigen Abständen ändern und sicherstellen, dass es Passwörter sind, die nicht auch für andere Dienste verwendet werden. Der Sicherheitsaspekt hierbei ist, sollte ein anderer Dienst eine Sicherheitslücke aufweisen und Ihr Passwort dort entwendet werden, könnte man versuchen, sich mit diesem Passwort auch in Ihrem Shop anzumelden. Haben Sie ein eigenes Passwort nur für Ihren Shop, dann kann Ihnen hier nichts passieren. Einen letzten Sicherheitsaspekt, den ich ansprechen möchte, gilt der installierten Software in Magento. Wir können die installierten Extensions in Magento unter dem Menüpunkt Systemkonfiguration aufrufen und finden links in der Navigationsleiste den Menüpunkt "erweitert". Unter dem Menüpunkt "erweitert", sehen wir alle installierten Module in Magento. Module mit dem Präfix "Mage_" sind Magentos Kernmodule. Diese sind normalerweise unproblematisch, können durchaus auch Fehler enthalten, diese werden aber meistens vom Hersteller direkt gefixt. Wenn Sie hier weitere Extensions sehen, sollten Sie sich regelmäßig fragen: "Benötige ich diese Extension unbedingt und kann ich sie vielleicht deinstallieren?" Außerdem müssen Sie bedenken, dass jede installierte Extension von Ihnen normalerweise komplett durchgelesen werden sollte, das heißt der gesamte Quelltext sollte von Ihnen gelesen und verstanden werden. In den meisten Fällen ist das aufgrund der Komplexität der Extensions oder aufgrund Ihres Fachwissens nicht möglich. Und daher besteht jederzeit die Möglichkeit, dass eine solche Extension auch Schadcode einführt. Unbedingt beachten sollten Sie, dass die Seite, die wir hier gerade betrachten, ausschließlich die Modulausgabe versteckt. Das heißt, Module, die Sie hier deaktivieren, werden nicht wirklich deaktiviert, sondern es wird lediglich die Ausgabe der Module deaktiviert. Ein möglicher Schadcode ist weiterhin aktiv. In diesem Kapitel habe ich Ihnen eine Zusammenfassung der wichtigsten Sicherheitsaspekte von Magento gegeben, zum einen bei der Installation, zum anderen beim täglichen Betrieb. Mit diesen einfachen Handgriffen können Sie ihren Magento Shop deutlich absichern und verringern signifikant die Wahrscheinlichkeit, dass ein versuchter Einbruch in Ihren Shop mit Erfolg gekrönt sein wird. Letztlich ist natürlich die Sicherheit von vielen unterschiedlichen Faktoren abhängig und nicht alle können von Magento abgedeckt werden. Für mehr Informationen zum Thema Serversicherheit können Sie sich auch an Ihren Hostingpartner wenden.

Magento Grundkurs (2012)

Lernen Sie als Einsteiger in die E-Commerce-Plattform Magento die Grundlagen kennen und lassen Sie sich als versierter Anwender neue Möglichkeiten und wichtige Tricks erklären.

10 Std. 14 min (135 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!