Sicherheit des Shops

Der Shop wird von Gambio ständig geprüft.
Angreifer kommen normal über ftp oder PW ins system.
Nicht über die Dateien selbst.

 

Wie der grprüft wird - diverse versuche usw. genau wird man das nie sagen.
Ja kannst einstellen das gewisse anzahl an versuchen gibt usw. is standard alles drinnen.

Wenn mehr wissen willst schick ein ticket an gambio - da es mehrere tausend shops gibt die das system nutzen kannst dir aber sicher sein das gambio da sicherheit einbaunt und prüft.

Bekannte angriffe die erfolg hatten waren meist anhand externer erweiterungen und module, FTP vom server zu schwach oder generell ausspähen von PW. Also immer nur externe schwachstellen soweit mir bekannt.

 

Hallo,

die Software wird regelmäßig von uns und externen, spezialisierten Dienstleistern durch Security Audits unter die Lupe genommen.
Es gibt auch eine maximale Anzahl an möglichen Login-Versuchen pro Zeitinterval, um Brute Force Attacken abzuwehren. Dies kann im Gambio Admin unter Shop Einstellungen > Sicherheitscenter > Login-Tracker konfiguriert werden.

 

Nicht machen. Das ist nicht supported, Augenwischerei und bekannt Probleme auszulösen. Sollte es das tatsächlich bei jemandem nicht tun, kann das mit der nächsten Shopversion so sein, wir übernehmen da wirklich keinerlei Gewähr. Der Admin Ordner ist aber auch weniger spannend als er klingt, die spannenden Funktionen liegen in stetig mehr in den Ordnern der GXEngine und werden von Front- und Backend gleichermassen passend verwendet.

 

Da ich aus der Branche komme und das Shopsystem immer mal wieder selbst unter die Lupe nehme (dabei in den vergangenen Jahren auch schon mehrmals fündig wurde), kann ich dich grundsätzlich schon einmal beruhigen. Bei Gambio nimmt man sicherheitsrelevante Angelegenheiten sehr ernst und ist sehr schnell bei der Beseitigung möglicher Problemstellen.

Anders als bei vielen anderen Herstellern/Entwicklern, nimmt man auch kleinste Warnungen ernst und handelt verdammt schnell. Da habe ich in meiner Lebenszeit schon sehr oft das Gegenteil erlebt. Letzten Sommer bin ich auf Schwachstellen im Administrationsbereich gestoßen, welche auf indirektem Weg ausgenutzt werden konnten und ein Angriff darüber sehr gezielt sein müsste, die Technik bei einem solchen Angriff auch eher sehr selten zum Einsatz kommt und kompliziert ist. Dennoch hat man - wie immer - sehr schnell auf meinen Hinweis reagiert und blitzschnell ein Patch mit in das Update gelegt.

Grundsätzlich kann ich dir sagen, dass das Shopsystem von Gambio eher zu den sicheren Systemen gehört. Liegt auch daran, dass man kommerziell damit arbeitet und die Entwicklung nicht sporadisch von irgendwelchen Leuten gemacht wird, sondern von Leuten die Ahnung haben. Ich würde mir da ehrlich gesagt viel mehr Sorgen um Joomla und ganz besonders um die Komponenten/Templates/Plugins davon machen. Die Erweiterungen werden häufig mit Fehlern entwickelt, vor der Veröffentlichung nicht überprüft und Hacker haben es ganz gezielt darauf abgesehen. Wenn dann Shop und andere Projekte im gleichen Web-Account liegen, kann das schnell unbequem werden.

Das mit der .htaccess ist in der heutigen Zeit aber nicht mehr wirklich hilfreich. Gerade dann, wenn das System eine Datenbank verwendet und ggf. eine Schwachstelle ausgenutzt wird, über die Dateien gelesen oder gar geschrieben werden können. Je nach Konfiguration des Servers ist das auch über Umwege möglich. Da interessiert sich der Angreifer herzlich wenig für den Adminbereich, wenn er sich Zugriff auf die Datenbank verschaffen kann oder gleich eine PHP-Shell ins Verzeichnis legt und sich quasi ein Backup vom kompletten Account zieht.

Wichtig ist immer, dass sämtliche Passwörter - die in irgendeiner Weise administrativen Zugang (Shop, Datenbank, FTP, Mail...) ermöglichen - möglichst sicher sind. Den Adminbereich zusätzlich abzuschirmen ist aber meist nicht unbedingt wirksam.

So... Das waren dann mal meine 2 cent...

 

Wie oben schon geschrieben gilt das mit Modulen usw auch bei Gambio - Daher sollte man nciht von jeder quelle Module nutzen. In jedem System sind externe Dinge meistens die Schwachstellen.

Die meisten DB sind eh nur von dem Server aus aufrufbar, direkte angriffe sind glaub eher selten. Wenn man auf deinen FTP bzw. an die Dateien rankommt is es eh egal dann kann er auch an die DB. Den die zugangsdaten kennt der Shop ja.
Daher is es ja so wichtig das man weder er FTP (ssh usw) drauf kann und nicht durch Lücken hinten rum an die Dateien / Daten.
Du selbst kannst eigentlich nur
1. Sichere Passwörter nutzen - AM Besten überall ein anderes. diverse zeichen usw nutzen usw.
2. Deinen PC absichern. Den da können angreifer auch ausspähen wie sie dran kommen.