Shopware 6? Mit Sicherheit!

Avatar von Benny Poensgen

Benny Poensgen

Als Shopbetreiber macht ihr euch natürlich Gedanken über die Sicherheit eures Online-Shops. Welche Gefahren drohen konkret und wie kann man ihnen begegnen?

Die Bedrohungslage

Ein Ladendieb will nur an die Ware kommen, ohne zu bezahlen. Das ist ärgerlich genug. Aber gibt es weitere Bedrohungsszenarien für Online-Shops?

Die kurze Antwort lautet: Ja. In diesem Beitrag gebe ich einen Überblick über die Bedrohungen und Gefahren, die beim Betrieb eines Online-Shops lauern und was man dagegen tun kann.

Neben dem „Ladendieb“ kennt man im Online-Handel drei weitere „Täterprofile“: „Störer“, „Mietnomaden“ und „Datendieb“.

Der Störer

Der Störer will euch das Geschäft verderben. Er will, dass euer Shop nicht oder nur schwer erreichbar ist und ihr deshalb weniger verkauft. Sein Werkzeug sind zum Beispiel DDoS-Attacken (Distributed Denial of Service). Dabei bekommt der Shop von sehr vielen verschiedenen Rechnern gleichzeitig so viele Anfragen, bis er schließlich überlastet ist. Alternativ werden Schwachstellen ausgenutzt, um einzelne Komponenten des Shops, z.B. die Datenbank, außer Gefecht zu setzen.

Vielleicht will euch der Störer damit erpressen, vielleicht steckt ein (unlauterer) Konkurrent dahinter. Manchmal ist es auch nur der sinnlose Streich eines Halbstarken.

Der Mietnomade

Der Mietnomade will euren Shop oder euren Server für seine Zwecke missbrauchen. Zum Beispiel indem er Spam-Mails mit eurem Absender verschickt. Oder indem er eure Besucher auf andere Webseiten umleitet. Oder im schlimmsten Fall, indem er euren Shop nutzt, um eigene Produkte oder Dienstleistungen zu verkaufen. Dazu muss er sich einen „Generalschlüssel“ für euren Shop besorgen, mit dem er jederzeit unerkannt ein- und ausgehen kann.

Der Mietnomade ist ein echter Profi, der alle Tricks kennt.

Der Datendieb

Der Datendieb hat es auf die Daten eurer Kunden abgesehen. Entweder verkauft er sie an Dritte weiter oder nutzt sie selbst für seine eigenen Zwecke, zum Beispiel für Phishing-Angriffe auf eure Kunden. Oder er versucht, euch damit zu erpressen – Geld gegen Daten. Das kann richtig teuer werden!

Wie der Mietnomade ist auch der Datendieb ein Profi, der mit allen Wassern gewaschen ist. In der Regel hinterlässt er keine Spuren.

Wie sicher ist Shopware 6?

Grundsätzlich sehr sicher. Bei der Entwicklung von Shopware 6 wurde und wird sehr viel Wert auf die Abwehr von Angriffen und die Analyse und Behebung von Schwachstellen gelegt. Shopware 6 setzt auf solide, gut gepflegte Basistechnologie, wie z.B. das Symfony-Framework. Grundlegende Sicherheitselemente einer Webanwendung, wie z.B. ein Rate-Limiter für Logins und andere Formulare, werden von dieser Plattform bereits mitgeliefert.

Da der Shopware-Quellcode als Open Source entwickelt wird, wird jede Erweiterung oder Änderung des Quellcodes von einer mittlerweile recht großen Entwicklergemeinde kritisch geprüft. Dadurch können potenzielle Sicherheitslücken frühzeitig identifiziert und behoben werden.

Apropos Community: Das ist mittlerweile eine ziemlich große Gruppe von Entwicklern, die bei Shopware selbst, aber vor allem auch bei Kunden und Agenturen oder als Freelancer beschäftigt sind.

Trotzdem muss man sagen: Der Shopbetreiber ist und bleibt in erster Linie dafür verantwortlich, dass alles sicher ist. Was kann man also tun?

Server-Updates

Da ist zunächst der Server selbst. Dass die Systemsoftware des Servers – also Betriebssystem, Datenbank, PHP etc. – immer auf dem neuesten Stand sein sollte, versteht sich von selbst. Darum sollte sich zunächst eurer Hoster kümmern. Trotzdem, ab und zu einmal nachzufragen schadet sicher nicht.

Sicherer Zugriff mit SSH, SFTP und Public-Keys

Der Zugriff auf den Server über SSH sollte ausschließlich über den Austausch von Private-Public-Keys möglich sein. Die Verwendung von Passwörtern ist dafür tabu. Ebenso wie der Zugriff über das veraltete und unsichere FTP-Protokoll, dass durch SFTP abgelöst wurde. Wie SSH arbeitet SFTP mit dem Public-Key-Verfahren.

Firewall und DDoS-Abwehr

Eine Firewall sollte einen offenen Zugriff auf den Server nur über die Ports 80 und 443 für HTTP und HTTPS erlauben, der Zugriff für SSH und SFTP über Port 22 könnte darüber hinaus auf einzelne IP-Adressen beschränkt werden.

Datenbanken und andere Komponenten wie Redis, RabbitMQ oder ElasticSearch sollten auf keinen Fall über eine öffentliche IP erreichbar sein. Besser ist es, wenn sie lokal oder in einer geschlossenen VPC (virtual private cloud) zusammen mit dem Webserver betrieben werden.

Zur DDoS-Abwehr kann man auf der niedrigsten Stufe serverbasierte Tools wie fail2ban und CrowdSec einsetzen. Für größere Shops sind, je nachdem welche Hosting-Plattform man hat, Cloud-Lösungen wie Cloudflare oder Akamai besser.

Die Kette bricht am schwächsten Glied

Das heißt, in Onlineshops sollte Shopware immer die einzige Anwendung auf einem Server sein. Ich würde euch also empfehlen, keine Shared-Hosting- oder Multi-Hosting-Lösungen zu nutzen. Bei einer Multi-Hosting-Lösung wird z. B. ein WordPress- oder Typo3-System zusammen mit einem Onlineshop auf einem Server betrieben. Angreifer suchen sich die schwächste Komponente, um auf den Server zu gelangen. Sind sie erst einmal „drin“, haben sie auch ungehinderten Zugriff auf den Shop und die Kundendaten.

Ich sehe immer wieder, dass Agenturen die Shops ihrer Kunden zusammen mit anderen Shops oder CMS-Systemen anderer Kunden auf einem Server betreiben. Aus den genannten Gründen halte ich das mittlerweile für ziemlich leichtsinnig.

Wie könnt ihr Shopware selbst sicherer machen?

Das wichtigste: Shopware immer aktuell halten. Oder zumindest das Sicherheitsplugin von Shopware installieren. Das aber auch immer regelmäßig auf die neueste Version aktualisieren – sonst kann es nicht helfen.

Ermutigt eure Admin-Benutzer, sichere Passwörter zu verwenden. Sicher bedeutet vor allem: lang. Besser zwölf als acht Zeichen. Ob es sich dabei um Groß- oder Kleinbuchstaben oder Sonderzeichen handelt, spielt praktisch keine Rolle. (Es hält sich hartnäckig der Irrglaube, dass Sonderzeichen oder Zahlen oder Groß- und Kleinschreibung ein Passwort sicherer machen). Auf keinen Fall sollten Passwörter einfach Namen oder Wörter aus dem Wörterbuch sein.

Versucht mit so wenig Administrator-Accounts wie möglich auszukommen. Jeder überflüssige Account stellt ein weiteres Passwort dar, das geknackt werden kann. Deaktiviert daher nicht mehr benötigte Accounts.

Bei einer großen Anzahl von Administratoren-Accounts kann es sinnvoll sein, eine Zwei-Faktor-Authentifizierung (2FA) einzuführen. Dies ist mit einem kostenlosen Plugin möglich.

Was sind die typischen Schwachstellen?

So trivial es klingt: „Vergessene“ Admin-Zugänge mit trivialen User/Passwort Kombinationen sind leider gar nicht so selten. Meist aus der Zeit, als der Shop zum ersten Mal eingerichtet wurde.

Leider gibt es auch im Shopware-Umfeld Plugins, die an sich nicht schlecht gemacht sind und in einer Entwicklungsumgebung sinnvoll sein können, aber in einem Live-Shop nichts zu suchen haben. Meiner Meinung nach gehört z.B. ein phpMyAdmin im Shopware-Admin nicht auf einen Live-Server, da es zusätzliche Schwachstellen, insbesondere für Brute-Force-Angriffe, mitbringt.

Jedes Plugin bringt mögliche Schwachstellen mit sich. Allein deshalb solltet ihr nicht verwendete Plugins, auch wenn sie kostenlos sind, aus dem Shop entfernen.

Ein häufiger Fehler sind auch FTP-Zugänge, die nur mit einem Passwort gesichert sind. FTP gilt heute als unsicheres Verfahren und sollte schnellstmöglich durch SFTP mit Public-Key-Authentifizierung ersetzt werden.

Zusammenfassung

Ein sicherer Betrieb des Shopware 6 Shops kann durch diese drei Maßnahmen gewährleistet werden:

  • Achtet auf einen sicher konfigurierten Server und aktuelle Shopware- und Plugin-Versionen. Nehmt dafür am besten eure Hoster und/oder Agenturen in die Pflicht.
  • Entfernt nicht benötigte und eventuell unsichere Plugins aus dem Shop.
  • Behaltet die Anzahl der Admin-Accounts im Griff, mahnt die Verwendung sicherer Passwörter an oder lasst gleich eine 2FA installieren.

Wenn ihr noch Zweifel habt: Gerne unterstützen wir euch mit einer Sicherheitsanalyse für euren Shop. Schnell, unkompliziert, und zum Festpreis. Sprecht mich einfach direkt an

Bis dahin: Happy and safe selling!

Eine Antwort zu „Shopware 6? Mit Sicherheit!”.

  1. Community Digest #19 – August 2024 – Shopware United

    […] Shopware 6? Mit Sicherheit! by vanWittelaer (german) […]

    Like

    Antworten

Hinterlasse eine Antwort zu Community Digest #19 – August 2024 – Shopware United Antwort abbrechen

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..