Er is een manier om in te schatten hoeveel hackbare gaten er zitten in een stuk software. Hoe doe je dat precies? Je vermenigvuldigt het aantal regels softwarecode met een kans op een lek per coderegel (ook wel uitgedrukt in LOC, lines of code). Het is niet de subtielste berekening natuurlijk, maar het geeft al wel een beeld.
Een gemiddelde Magento-webshop heeft met deze berekening een duizelingwekkende hoeveelheid van 1500 kwetsbaarheden. En hiervan worden er per jaar een stuk of 50 gedicht, wat erg weinig lijkt. Betekent dit dus dat je niets moet doen, omdat het er te veel zijn? Nee, natuurlijk niet.
Hoe kom je op dat getal?
Een volledige Magento-installatie inclusief een aantal gangbare extensies voor betalen, zoeken en marketing, bestaat al snel uit enkele miljoenen regels code. De basisinstallatie van Magento 2 bevat alleen al zo’n 800.000 regels. Tel daar de extensies en maatwerkkoppelingen bij op, en je zit op een veelvoud.
Statistisch onderzoek naar softwarekwaliteit laat zien dat complexe webapplicaties, zoals een Magento webshop, gemiddeld één exploiteerbare kwetsbaarheid per twee- tot drieduizend LOC (lek per coderegel) bevatten.
Met de conservatiefste schatting kom je voor een doorsnee Magento-webshop uit op circa 1500 kwetsbaarheden. Dit is enkel de standaard Magento-webshop zonder extensies. Ze zijn niet allemaal even gevaarlijk, en ook niet allemaal direct te misbruiken. Maar ze zijn er wel, ondanks dat ze nog niet zijn blootgelegd.
Als er kwetsbare code wordt gevonden, dan wordt deze met een patch gedicht. En elk jaar brengt Magento patches uit die zo’n vijftig van die kwetsbaarheden oplossen. De rest van de 1500 wacht.
Dit is geen theorie. Het gebeurt dagelijks.
We kijken allemaal al niet meer op als er een groot datalek is of een ander soort hack. Bijna iedere dag komt er iets langs.
In de zomer van 2025 werden ruim 485.000 deelnemers aan het Nederlandse bevolkingsonderzoek naar baarmoederhalskanker slachtoffer van een hack. Criminelen braken in bij een extern laboratorium dat testmateriaal voor Bevolkingsonderzoek Nederland verwerkte. Namen, adressen, BSN-nummers, geboortedata en mogelijke testuitslagen. Alles werd buitgemaakt. Mensen die een medisch onderzoek hadden laten uitvoeren, werden plotseling geconfronteerd met het risico op identiteitsfraude. Niet door een fout van henzelf, maar door een lek bij een partij waarmee ze nauwelijks contact hadden.
Jaguar Land Rover werd in 2024 aangevallen via slecht beveiligde bedrijfssoftware. Een hacker maakte honderden interne documenten buit. E-mails, projectinformatie, technische specificaties. Allemaal op straat.
En dan Chipsoft, leverancier van het meest gebruikte elektronische patiëntendossier in Nederlandse ziekenhuizen. Kwetsbaarheden in hun software raakten in 2026 direct de zorg voor patiënten. Als een ziekenhuissoftwareleverancier met een heel securityteam kwetsbaar is, wat zegt dat dan over een webshop die beveiliging er “even” bij doet, of hiervoor “een mannetje heeft, dat ook de printers beheert”?
Deze cases zijn geen toevallige incidenten. Het is statistisch gezien niet meer dan logisch dat in alle miljoenen LOC een kwetsbaarheid zit, die door hackers met hun miljoenen pogingen om een ingang te vinden, kan worden gevonden en geëxploiteerd. Dat is de wet van de grote getallen.
Het gevaar zit zelden in één gerichte aanval
Magento-webshops worden in de regel niet gehackt door een geavanceerde hacker die het specifiek op jou heeft voorzien. Ze worden geraakt door geautomatiseerde bots, die het internet afzoeken naar bekende kwetsbaarheden. Lekken die al maanden of jaren geleden gedicht hadden kunnen zijn.
En deze hackers werken niet met een webshop per keer. Hun autonome bots gaan het hele web af en met enorm veel rekenkracht rammelen ze overal aan de deur. En als ze bingo hebben, ze vinden een kwetsbaarheid die nog niet dichtzit, dan boren ze verder naar binnen. En ja, ze komen ook met duizenden pogingen per dag bij jouw webshop langs.
Bij 1500 kwetsbaarheden en een wereld vol geautomatiseerde bots, die zoeken waar ze je Magento-shop het beste kunnen aanvallen. Het is de vraag dan ook niet óf ze kwetsbaarheden weten te vinden. De vraag is hoe makkelijk, en hoe goed je er dan op voorbereid bent.
Hackers sterker door AI. De kill chain in uren, niet weken.
Er is een ontwikkeling die dit probleem verergert: kunstmatige intelligentie. Hackers gebruiken AI om hun aanvallen te versnellen en te verfijnen. Geautomatiseerde tools scannen het internet in hoog tempo op bekende kwetsbaarheden. En zodra een nieuw lek bekend wordt, helpt AI bij het razendsnel schrijven van de exploit.
In securitytermen heet het traject dat hackers doorlopen om succesvol te zijn met hun kwade bedoelingen (denk aan: data-exfiltratie, ransomware-activatie), de kill chain. Het gaat om het vinden van een target, het kiezen en plaatsen van benodigde wapens (bijvoorbeeld: malware, keyloggers, etc.) en het uitvoeren van de echte hack.
De kloof tussen het moment dat een kwetsbaarheid bekend wordt en het moment dat aanvallers die actief misbruiken, wordt kleiner. Bij 3WebApps zien we dit patroon van alsmaar versnellen van de pogingen om nieuwe bekende lekken te exploiteren in de praktijk.
Vroeger had je weken om te patchen. Nu doorlopen hackers de killchain in uren. Of althans, bij ons proberen ze binnen te komen, maar ze komen niet ver …
Wat kan je als webshopeigenaar doen?
Volledige veiligheid bestaat niet. Maar het risico is wél beheersbaar. Dit zijn de maatregelen die het meeste verschil maken:
- Patches direct installeren. Elke dag met een ongepatcht lek is een dag waarop aanvallers die kwetsbaarheid kennen en jij nog niet beschermd bent. Zeker omdat een patch letterlijk beschrijft welk lek gedicht wordt, biedt het een mooie routekaart voor hackers om bij een niet-gepatchte webshop naar binnen te komen. We zien in de dagelijkse praktijk bijna alleen maar hackpogingen op bekende kwetsbaarheden, niet op zero-days. Dit is zeer belangrijk om te weten. Dus zet je shop op tijd dicht voor bekende kwetsbaarheden, en maak het ze zo lastig mogelijk.
- Een Web Application Firewall (WAF) inzetten. Een WAF filtert kwaadaardig verkeer voordat het je webshop bereikt
- Toegangsbeheer serieus nemen. Twee-factor-authenticatie voor alle beheeraccounts. Geen gedeelde wachtwoorden. Regelmatig controleren wie toegang heeft tot wat. Het bekende securityadagium is: “het zwakste punt is de mens”
- Monitoring door een SOC. Weten wat normaal is, zodat je afwijkingen van het normale opmerkt. Alarmeringen instellen bij verdachte activiteit. Een security operations centre weet wat het moet doen als de alarmen afgaan.
- Periodieke security-audits. Laat een specialist meekijken. Een frisse blik vindt wat jij niet meer ziet
- Maak en controleer back-ups. Heb je back-ups? Weet je het zeker? Weet je het echt zeker? Echt zeker? Check regelmatig of je back-upproces werkt en of de back-ups bruikbaar zijn. Je zult heeeel erg blij zijn als je ze daadwerkelijk nodig hebt …
Waarom een filmpje van een kinderslaapkamer aantoont dat dit een no-brainer is.
Security voelt als een kostenpost. Dat is het niet. Het is een investering in de continuïteit van je bedrijf. Op het moment van een hack worden de kosten nog veel groter.
De gemiddelde schade van een datalek voor een mkb-bedrijf in Europa bedraagt volgens IBM meer dan 100.000 euro. Reputatieschade niet meegerekend. Klanten die afhaken. Zoekmachines die je betrouwbaarheid afstraffen. Een hersteltraject dat maanden duurt.
Vergelijk die kosten eens met het budget voor een jaar proactieve beveiliging.
En daarnaast: je voelt je ook veiliger en comfortabeler als je weet dat de boel in orde is. Een tijdje geleden was er op tv (jawel) een programma waarin een echte inbreker liet zien hoe makkelijk hij een huis kon binnengaan. De bewoners van het huis werden later geconfronteerd met het filmpje van de inbraak.
De inbreker liep door de woonkamer, de keuken en de slaapkamers. Hoewel de bewoners vooraf wisten dat ze ‘slachtoffer’ zouden worden, waren de emoties altijd zeer hoog op het punt dat de inbreker door de kinderslaapkamer heen liep. Al het gevoel voor veiligheid was op slag weg. Hier is geen prijs op te plakken.
Deze ervaringen tonen aan waarom preventieve maatregelen belangrijk zijn. Naast de kosten, is gevoelsmatige veiligheid onbetaalbaar. Zeker voor jouw klanten. In het geval van een hack is het vertrouwen aangetast. Dit wil je simpelweg voorkomen.
Wat doet 3WebApps hieraan?
Beveiliging is voor ons geen bijzaak. Voor al onze klanten hebben we de hierboven beschreven maatregelen doorgevoerd: patches bijhouden, WAF-configuratie, logging en monitoring, backups, strak toegangsbeheer en periodieke audits. Dat is geen extra service, maar onderdeel van hoe wij webshops beheren.
In onze podcast praten we hier ook regelmatig over. We geven tips over hoe je je security beter organiseert, houden je op de hoogte van nieuwtjes, behandelen lessons learned van onder meer het Odido-datalek, hoe aanvallers te werk gaan bij gerichte aanvallen op webshops, en wat je daar als e-commercemanager van kunt leren. Juist bedoeld voor e-commercemanagers zonder technische achtergrond.
Twijfel je?
Overleg met je agency of je beheerder hoe je security is ingericht. We hebben hierboven een zestal tips gegeven die bijna allemaal met ja of nee te beantwoorden zijn. Heb je een SOC, heb je een WAF, heb je een back-up, etc.? Je weet dan redelijk snel of je enigszins goed beschermd bent.
Neem het antwoord “ach joh, ik ga ervan uit dat het allemaal wel goed zit” of “ik weet het niet” of iets van die strekking, niet als eindpunt in de discussie. Aannames zijn zelden goede raadgevers. Net als angst overigens, dus je hoeft het ook niet te gek te maken.
Twijfel je over jouw situatie? Dan kun je ons vragen om een securityconsult. We kijken naar de huidige staat van jouw webshop. Geen verplichtingen. Gewoon een eerlijk beeld van waar je staat.
Wij schrijven dit omdat we de e-commercewereld, en met name de Magento-wereld, een warm hart toedragen.