Kurzes Update: Bei einem Shop wurde trotz 2F Auth. wieder der Checkout gehackt und die Datei ausgetauscht. Alle! Passwörter waren seit gestern geändert.
Du weißt aber schon, dass gerade mit den letzten 3 Updates (26.3; 26.4 und 26.5) etliche Sicherheitslücken geschlossen wurden? Ich selber finde es zwar komisch, das man wegen Umfragen und Marketing von Gambio Mails erhält, bei wichtigen Updates aber ausschließlich auf die Kommunikation via Forum setzt..... Klar sind die neuen Versionen alles andere als prickelnd, die ganzen Bug's gehen mir echt auf dem Zeiger, aber wenn es der Sicherheit gut tut.. in der Not...
Und dieser Shop hatte auch den Patch von der März Hack-Aktion? Kannst Du bitte sagen, welche Dateien genau geändert wurden? Danke!
Bei uns wird jetzt anscheinend jede Nacht der neue PW-Hackversuch gestartet. Heute um ca. 0 Uhr wieder, erfolglos. Erfolgreich war der Hack nur mit 4.9.x. Nachdem wir auf v26.05.0 hoch sind schaffen sie es nicht länger. Natürlich ist 2FA noch zusätzlich aktiviert.
Mal ein Hinweis, wer denkt die 2FA macht Euren Shop sicherer, der Irrt. Mit E-Mail und Passwort kommt man auch so an Sachen wie Kundendaten, Bestellungen Artikel dran, auch wenn die 2FA aktiviert ist. Und da spielt die Version keine Rolle. Was Dein Problem angeht, hast Du offenbar irgendwo noch eine Lücke, die noch nicht geschlossen wurde. Schau im Gambio Store das Du wenigstens die dort angebotenen Security Updates plus 2026-03 v1.1 installiert hast
2FA alleine reicht nicht, das ist absolut richtig. Die Hintertüren müssen durch die neuen Versionen zusätzlich geschlossen werden.
Ich denke es gibt zurecht Bedenken gegen eine 2FA über Google. Würde es denn nicht helfen, wenn man das Verzeichnis /admin mit einem zusätzlichen Server-Passwortschutz ausstattet? So machen wir es bei Joomla-Sites auch.
Bei PrestaShop heißt der Ordner /admin* * ein 18 stelliger Code, der bei der Installation am Ordnernamen angehängt wird. Auch eine zusätzliche Hürde.
Hallo Community, Wir möchten in dem Rahmen auch noch mal empfehlen, stets die aktuelle Version zu nutzen und alle verfügbaren Security-Updates zu installieren, um sich vor dem Ausnutzen bekannter Sicherheitslücken zu schützen. Viele Grüße, Euer Gambio-Team
Hallo @Daniel S. (Gambio) zu dieser Bekanntgabe schau mal unter Ticket 102052526 nach. Eure Antwort jetzt steht im Widerspruch zu der Antwort vom 04.06.2026 Also werden demnach keine Sicherheitpatch für ältere Shop's mehr angeboten, da die neuen Updates schon bereits einige Wochen auf dem Markt sind und Sicherheitslücken bei euch und in externen Foren bekannt sind. Diese werden ja aktuell von fremden ausgenutzt. Das heißt also im Umkehrschluss für externe Module. Kein Spielraum mehr zu haben, um Module auf entsprechende neue Versionen der Shopsoftware upzudaten, da die Schließung von Sicherheitslücken mit Updates der Shopsoftware gekoppelt werden und damit auch nachvollziehbar für andere offen gelegt werden. So macht das neue Modulcenter auch richtig Sinn.
Wie ist das eigentlich mit dem Free-Download? Soweit ich sehe, wird dort immer noch die Version 5.0.2.0 angeboten. Die Dateien dieser Version sind vom 23.01.2026. Nach meinem Kenntnisstand wurden danach mehrere Sicherheitslücken geschlossen. Falls das zutrifft, müsste die zum Download angebotene Version diese bekannten Sicherheitslücken noch enthalten. Mir ist weder vor, während noch nach dem Download ein entsprechender Hinweis aufgefallen, dass es sich um eine Version mit bekannten Sicherheitslücken handelt. Mich würde interessieren, wie Gambio mit dieser Situation umgeht. Gibt es dafür einen technischen oder wirtschaftlichen Grund? Oder ist es bewusst so vorgesehen, dass Sicherheitsupdates nur Kunden mit aktivem Vertrag zur Verfügung stehen? Außerdem frage ich mich, wie das rechtlich zu bewerten ist. Besteht nicht zumindest die Pflicht, Nutzer deutlich auf bekannte sicherheitsrelevante Risiken hinzuweisen? Und unabhängig von der Rechtslage: Wie seht ihr das aus ethischer bzw. kundenorientierter Sicht?
Das passt nicht zusammen. Denn wenn man die aktuelle Version nutzt, dann braucht man doch nicht noch zusätzlich die Security-Updates. ? Und derjenige, der keine aktuelle Version verwendet, aber die 2 Security-Updates installierte, hat trotzdem keinen sicheren Shop, da mit der 26.04.01 und 26.05.0 Sicherheitslücken geschlossen wurden. Also eigentlich müsstet ihr sagen: "Euer Shop ist nur sicher, wenn ihr immer die aktuelle Version nutzt" oder ihr stellt auch außerhalb der Version-Updates Sicherheitspatches zur Verfügung.
Das möchte ich gerne, doch leider kommen mit jedem neuen Update auch wieder neue Bugs. Es wäre sicherlich im Interessen Aller die Sicherheitsupdates von den reguläten Shop-Updates zu entkoppeln. Grüße, Dirk