Magento webshops onderzocht op veiligheid

Laten we maar met de conclusie beginnen: Nederlandse webshops zijn niet zo goed beveiligd.

Het grootste deel van de Nederlandse webshops gebruikt Magento. In dit onderzoek hebben we ons hierop gefocussed. Er zijn op het moment van het onderzoek 2039 Magento webshops in Nederland, of beter: die in Nederland staan. Dit zijn veelal shops die zich richten op de Nederlandse markt (993 ofwel bijna de helft).

Magento 1 vs Magento 2

935 van de 2039 shops draaien Magento 1, ofwel 46%. Dit is interessant omdat Magento (een dochter van Adobe) eind Q2 stopt met het uitbrengen van security updates voor Magento 1 (zie: https://magento.com/blog/magento-news/supporting-magento-1-through-june-2020). Er moet dus nog een slag gemaakt worden.

Magento 2

Dus.. een meerderheid (1076) van de shops draait in ieder geval Magento 2. Laten we eens kijken welke versie. Handig om te weten: support voor versie 2.1 en 2.2 stopten respectievelijk juni en december vorig jaar. Ondersteund is dus versie 2.3.

We vonden 7 shops met Magento 2.0. Versie 2.1 waren er al meer: 85 ofwel 8%. Spannender wordt versie 2.2: 273 stuks (25%!). Dus bijna 35% van de Magento 2 shops draait een versie van de software waar geen updates voor uitkomen…!

Geen updates meer… is dat erg?

Nou zou je denken: geen updates meer, dat is pas erg als er nieuwe veiligheidslekken worden ontdekt, en dat gebeurd vast niet de eerste dag dat de support stopt. Dat is waar, maar wat ook waar is dat lang niet alle Magento 2.2 shops de laatste versie van 2.2 draaien, en laat er nou net een enorm gat zitten in Magento 2.2 wat wordt gedicht in een van de laatste versies van 2.2! Voor de liefhebbers: je kan hem hier vinden, maar samengevat: een kwaadwillende kan zo bij je hele database met klantgegevens.

Naast bovenstaande bug is er nog een andere bug, die wat minder vervelend is, maar ook niet fijn. De bug die er voor zorgt dat kwaadwillende achter de admin url van je shop komt. Heeft een hacker die, kan hij bijvoorbeeld door middel van het proberen van heel veel passwords in je shop proberen te komen. Ook niet fijn. Wel fijn: we konden deze bug vrij makkelijk testen: we vonden 484 shops die hem hadden. Voor de snelle rekenaar: dat is 45% van de Magento 2 shops. Hieruit weten we dus dat in ieder geval 45% van deze shops niet de laatste Magento 2.1 of 2.2 versie draait.

Ohja, PHP

PHP, ofwel de taal waarin Magento is geschreven. Daar moeten we het ook nog even over hebben. PHP moet je namelijk ook updaten, anders staan de spreekwoordelijke ramen alsnog wagenwijd open. Voor op een zondagmiddag vind je hier een bericht waardoor je graag de laatste versie van PHP wilt draaien.

We vonden 154 shops die een oudere versie van PHP 7 draaide. Valt dus mee, want maar 8%. Er bestaat alleen ook nog PHP versie 5, en die is al lang uit zijn support. Hiervan vonden we er… 285(!). Zo’n 14%. Tel het op en je komt op zo’n 22% van de shops die het op (PHP) gebied niet echt voor elkaar hebben.

Conclusie

We hadden het al verklapt, maar het is niet zo fijn gesteld met de veiligheid van Nederlandse webshops, tenminste, als we de Magento webshops als representatieve steekproef mogen nemen.

Heeft u zelf een webshop en wilt u eens weten hoe veilig u bent? Neem dan gerust contact met ons op op 085 – 0123400.