Hoe beveilig ik mijn Magento webshop?
Zorg ervoor dat je webshop altijd de laatste versie draait. Upgrade daarbij niet enkel Magento, maar denk ook aan al je plug-ins. Het is daarbij verstandig een overzicht bij te houden met welke modules je allemaal geïnstalleerd hebt en welke versie je nu draait.
Het is geen overbodige luxe om alle plugins op dit lijstje tenminste 1x per jaar volledig te upgraden. Uit eigen ervaring gebruiken we hier de eerste drie maanden van het jaar voor, omdat deze minder belangrijk zijn dan de feestmaanden.
Aandachtspunten;
- Controleer onder System > Permissions > Users welke gebruikers zijn aangemaakt en verwijder alle gebruikers die je niet gebruikt. Verwijder accounts van personeel wat vertrekt per direct.
- Gebruik een sterk wachtwoord. Google heeft hier een aantal regels voor die je zeker moet hanteren: https://support.google.com/accounts/answer/32040?hl=en Gebruik onder geen beding een bestaand woord en denk aan een lengte van tenminste 8 tekens waaronder letters, cijfers, één hoofdletter en één speciaal teken.
- Wijzig de standaard gebruikersnaam naar iets anders dan admin of administrator. Zo kan een hacker of botnet je gebruikersnaam niet of minder snel 'raden'.
- IP whitelisting; beveilig de directory /downloader met een .htaccess bestand met hierin de volgende regels:
order deny,allow
deny from all
allow from x.x.x.x
waar x.x.x.x uiteraard je eigen IP-adres is waarmee je de Magento downloader mag benaderen. Weten wat je eigen IP-adres is? Kijk dan op www.watismijnip.nl
waar x.x.x.x uiteraard je eigen IP-adres is waarmee je de Magento downloader mag benaderen. Weten wat je eigen IP-adres is? Kijk dan op www.watismijnip.nl
Disclaimer: maak altijd gebruik van een development omgeving waarop je de nieuwste patches van Magento kunt testen, voer deze onder geen enkele voorwaarde zonder te testen uit op je productie omgeving.