Als je een fysieke winkel hebt is je grootste nachtmerrie dat er een inbraak komt. Je ramen zijn ingeslagen, waardevolle spullen en geld zijn verdwenen. En niet onbelangrijk, de schrik zit er goed in. Als er in een winkel wordt ingebroken merk je het wel meteen. Bij een webwinkel is dat anders; iemand kan zich ongemerkt toegang verschaffen tot je webwinkel en de gegevens van jouw klanten misbruiken. Als webshopeigenaar vraag je je dan af -- hoe veilig is Magento en kan ik zomaar elke extensie gebruiken die mij nuttig lijkt?


Veiligheid van Magento

De Magento --core is de basis van iedere webwinkel met Magento. De verantwoordelijkheid hiervoor ligt bij het bedrijf Magento. Waar platforms als WordPress vertrouwen op een wereldwijde community van programmeurs om lekken te repareren gebeurt dit bij Magento vanuit het bedrijf zelf.

Magento heeft in het verleden laten zien snel te handelen als er een groot lek aan het licht komt. Toen in 2015 het Shoplift-bug aan het licht kwam is er snel een patch uitgebracht waarmee het lek gedicht kon worden. Deze patch is gelijk beschikbaar gemaakt voor zowel de betalende gebruikers van de Enterprise edition als voor de gratis Community edition. Daarnaast kwam er een module beschikbaar waarmee gekeken kon worden of jouw Magento webshop veilig was. In principe is je webwinkel bij een lek dus snel weer veilig te maken.

Grote lekken in Magento zijn vrij zeldzaam. Naast de Shoplift-bug in 2015 zijn er recent geen grote veiligheidsrisico's geweest. Er zijn wel een aantal updates geweest, zoals versies 2.0.4 en 2.0.6 waarin een aantal kleine lekken is gedicht. Zo was het bijvoorbeeld mogelijk dat een niet-geregistreerde gebruiker het winkelwagentje van een geregistreerde klant aanpaste. Daarnaast zijn er verbeteringen doorgevoerd in de encryptie en zijn er beperkingen gekomen op het aantal keren dat een wachtwoord ingevoerd kan worden.

Magento is hiermee niet veiliger of onveiliger dan andere platformen zoals Prestashop en Woocommerce. Ook deze systemen worden zeer regelmatig geüpdatet om zodoende veiligheidsrisico's te verminderen. Bij Woocommerce, dat in feite een plug-in is van WordPress, is de kans wel aanwezig dat er veiligheidsproblemen ontstaan door andere WordPress plug-ins van een derde partij.


Veiligheid van extensies

Een van de grootste voordelen van Magento is de mogelijkheid om de webshop aan te passen met extensies en themes. Hierdoor kun je je webwinkel een eigen look en feel meegeven. Er zijn talloze websites waarop extensies worden aangeboden, maar hoe veilig zijn deze extensies eigenlijk? Net als Magento zelf, zijn ook de meeste extensies open-source en geschreven in PHP. Dit betekent dat je in principe zelf de code van de extensie kunt nalopen om te kijken of er geen veiligheidsrisico's zijn. Dit vereist echter een grote technische kennis.

Gelukkig zijn er veel bedrijven die deze zorgen uit handen nemen. Extensies uit de Magento Marketplace gaan door een security audit. De extensies op allesvoormagento worden door onze eigen programmeurs ontwikkeld en worden door onafhankelijke programmeurs gecheckt.

Je kunt er niet blindelings van uitgaan dat alle extensies die je op het internet vindt veilig zijn. Extensies die uit betrouwbare bronnen komen, zoals de Magento marketplace, zijn eigenlijk per definitie veilig. Als je vragen hebt over de veiligheid van andere extensies, dan kunnen wij je helpen om de veiligheid van je extensie te controleren.


Zijn er dan helemaal geen veiligheidsrisico's?

Ook als je alleen extensies uit veilige bronnen haalt en altijd zo snel mogelijk de nieuwste updates van Magento installeert, is het nog steeds mogelijk om het slachtoffer te worden van cybercriminelen. De grootste veiligheidsrisico's liggen namelijk bij de gebruiker zelf. In een toekomstig artikel vind je tips over hoe je het risico op hacks nog verder kunt beperken.