Laten we maar met de conclusie beginnen: de security van Nederlandse Magento-webshops laat te wensen over. In ons onderzoek – uitgevoerd in januari en februari 2020 – hebben we ons op Magento security gericht. Er zijn 2039 Nederlandse Magento-webshops onderzocht, of beter: webshops die in Nederland online zijn. Dit zijn veelal shops die zich richten op de Nederlandse markt (993 van het totaal, oftewel bijna de helft).
Security van Nederlandse Magento-webshops: Magento 1 vs Magento 2
935 van de 2039 shops draaien Magento 1 (46%). Dit is interessant omdat Magento (een dochter van Adobe) eind Q2 stopt met het uitbrengen van security-updates voor Magento 1. Dan stopt Magento 1 namelijk. Er moet dus nog een slag gemaakt worden.
Dit betekent ook dat een meerderheid (1076) van de shops in ieder geval draait op Magento 2. Laten we eens kijken welke versie. Handig om te weten: support voor versie 2.1 en 2.2 stopten respectievelijk juni en december vorig jaar. Ondersteund is dus versie 2.3.
We vonden 7 shops met Magento 2.0. Versie 2.1 waren er al meer: 85 (8%). Spannender wordt versie 2.2: 273 stuks (25%!). Dus bijna 35% van de Magento 2 shops draait een versie van de software waar geen updates voor uitkomen!
Geen updates meer… is dat erg?
Nou zou je denken: geen updates meer, dat is pas erg als er nieuwe veiligheidslekken worden ontdekt en dat gebeurd vast niet de eerste dag dat de support stopt. Dat is waar, maar wat ook waar is, is dat lang niet alle Magento 2.2-shops de laatste versie van 2.2 draaien. En laat er nou net een enorm gat zitten in Magento 2.2 wat wordt gedicht in een van de laatste versies van 2.2! Een kwaadwillende kan zo bij je hele database met klantgegevens.
Naast bovenstaande bug is er nog een andere bug, die wat minder vervelend is, maar ook niet fijn. De bug die ervoor zorgt dat kwaadwillende achter de Admin-URL van je shop komt. Heeft een hacker die, kan hij bijvoorbeeld door middel van het proberen van heel veel passwords in je webshop proberen te komen. Ook niet fijn. Wel fijn: we konden deze bug vrij makkelijk testen. We vonden 484 shops die hem hadden. Voor de snelle rekenaar: dat is 45% van de Magento 2-webshops. Hieruit weten we dus dat in ieder geval 45% van deze shops niet de laatste Magento 2.1 of 2.2 versie draait.
Ohja, PHP
PHP, ofwel de taal waarin Magento is geschreven: daar moeten we het ook nog even over hebben. PHP moet je namelijk ook updaten, anders staan de spreekwoordelijke ramen alsnog wagenwijd open. Lees op je vrije zondagmiddag anders een dit bericht, waardoor je graag de laatste versie van PHP wilt draaien.
We vonden 154 shops die een oudere versie van PHP 7 draaide. Valt dus mee, want dat is maar 8%. Er bestaat alleen ook nog PHP versie 5 en die is al lang uit zijn support. Hiervan vonden we er… 285 (!). Zo’n 14%. Tel het op en je komt op zo’n 22% van de shops die het op PHP-gebied niet echt voor elkaar hebben.
Conclusie: security van Nederlandse Magento-webshops kan veel beter
We hadden het al verklapt, maar het is niet zo fijn gesteld met de veiligheid van Nederlandse webshops, tenminste, als we de Magento webshops als representatieve steekproef mogen nemen.
Weet jij eigenlijk wel hoe het is gesteld met de security van jouw Magento-webshop?
