Sicherheit des Shops

Thema wurde von gesundheitsgeber, 5. Januar 2017 erstellt.

  1. gesundheitsgeber

    gesundheitsgeber Erfahrener Benutzer

    Registriert seit:
    27. Januar 2014
    Beiträge:
    253
    Danke erhalten:
    4
    Danke vergeben:
    75
    Hallo liebe Experten,

    mich würde mal eure Erfahrung zu folgendem Thema interessieren.

    Ich betreibe noch einen Blog und auch eine Joomla-Seite. Beide haben ja umfangreiche Möglichkeiten per Plugins oder z.B. .htaccess Passwortschutz die Admin-Ordner (also das Backend) vor unerlaubtem Zugriff zu schützen.

    Wie sieht es da mit Gambio aus?

    Wie macht ihr das? Wie schützt ihr euren Shop vor Hackern etc... Sind ja echt sensible Daten drin.

    Sichere PW und Schutz des Hosters sind klar;)

    Reicht das G-Protect -Modul aus?

    Kann man das Backend auch per .htaccess schützen? Wenn ja wie - ohne dass der Kundenlogin beeinträchtigt wird.

    Danke für eure Erfahrungen,

    liebe Grüße,
    Petra
     
  2. Dennis (Print-Weilburg.de)

    Dennis (Print-Weilburg.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    30.355
    Danke erhalten:
    5.905
    Danke vergeben:
    1.053
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    Der Shop wird von Gambio ständig geprüft.
    Angreifer kommen normal über ftp oder PW ins system.
    Nicht über die Dateien selbst.
     
  3. gesundheitsgeber

    gesundheitsgeber Erfahrener Benutzer

    Registriert seit:
    27. Januar 2014
    Beiträge:
    253
    Danke erhalten:
    4
    Danke vergeben:
    75
    Wie wird der Shop denn geprüft von Gambio?

    Und wie wird ein Brute Force auf das Backend verhindert? Gbt es da auch eine max Anzahl möglicher Logins/IP?
     
  4. Dennis (Print-Weilburg.de)

    Dennis (Print-Weilburg.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    30.355
    Danke erhalten:
    5.905
    Danke vergeben:
    1.053
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    Wie der grprüft wird - diverse versuche usw. genau wird man das nie sagen.
    Ja kannst einstellen das gewisse anzahl an versuchen gibt usw. is standard alles drinnen.

    Wenn mehr wissen willst schick ein ticket an gambio - da es mehrere tausend shops gibt die das system nutzen kannst dir aber sicher sein das gambio da sicherheit einbaunt und prüft.

    Bekannte angriffe die erfolg hatten waren meist anhand externer erweiterungen und module, FTP vom server zu schwach oder generell ausspähen von PW. Also immer nur externe schwachstellen soweit mir bekannt.
     
  5. Moritz (Gambio)

    Moritz (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    5.166
    Danke erhalten:
    2.278
    Danke vergeben:
    748
    Hallo,

    die Software wird regelmäßig von uns und externen, spezialisierten Dienstleistern durch Security Audits unter die Lupe genommen.
    Es gibt auch eine maximale Anzahl an möglichen Login-Versuchen pro Zeitinterval, um Brute Force Attacken abzuwehren. Dies kann im Gambio Admin unter Shop Einstellungen > Sicherheitscenter > Login-Tracker konfiguriert werden.
     
  6. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.325
    Danke erhalten:
    6.612
    Danke vergeben:
    2.003
    Nicht machen. Das ist nicht supported, Augenwischerei und bekannt Probleme auszulösen. Sollte es das tatsächlich bei jemandem nicht tun, kann das mit der nächsten Shopversion so sein, wir übernehmen da wirklich keinerlei Gewähr. Der Admin Ordner ist aber auch weniger spannend als er klingt, die spannenden Funktionen liegen in stetig mehr in den Ordnern der GXEngine und werden von Front- und Backend gleichermassen passend verwendet.
     
  7. gesundheitsgeber

    gesundheitsgeber Erfahrener Benutzer

    Registriert seit:
    27. Januar 2014
    Beiträge:
    253
    Danke erhalten:
    4
    Danke vergeben:
    75
    Okay, danke euch für eure Antworten - dann bin ich erstmal beruhigt :)

    Und ich lasse die Finger von der .htaccess ;-)

    Danke und Grüße,
    Petra
     
  8. H. Frenzel | doo!media

    H. Frenzel | doo!media Erfahrener Benutzer

    Registriert seit:
    26. April 2011
    Beiträge:
    45
    Danke erhalten:
    22
    Danke vergeben:
    1
    Da ich aus der Branche komme und das Shopsystem immer mal wieder selbst unter die Lupe nehme (dabei in den vergangenen Jahren auch schon mehrmals fündig wurde), kann ich dich grundsätzlich schon einmal beruhigen. Bei Gambio nimmt man sicherheitsrelevante Angelegenheiten sehr ernst und ist sehr schnell bei der Beseitigung möglicher Problemstellen.

    Anders als bei vielen anderen Herstellern/Entwicklern, nimmt man auch kleinste Warnungen ernst und handelt verdammt schnell. Da habe ich in meiner Lebenszeit schon sehr oft das Gegenteil erlebt. Letzten Sommer bin ich auf Schwachstellen im Administrationsbereich gestoßen, welche auf indirektem Weg ausgenutzt werden konnten und ein Angriff darüber sehr gezielt sein müsste, die Technik bei einem solchen Angriff auch eher sehr selten zum Einsatz kommt und kompliziert ist. Dennoch hat man - wie immer - sehr schnell auf meinen Hinweis reagiert und blitzschnell ein Patch mit in das Update gelegt.

    Grundsätzlich kann ich dir sagen, dass das Shopsystem von Gambio eher zu den sicheren Systemen gehört. Liegt auch daran, dass man kommerziell damit arbeitet und die Entwicklung nicht sporadisch von irgendwelchen Leuten gemacht wird, sondern von Leuten die Ahnung haben. Ich würde mir da ehrlich gesagt viel mehr Sorgen um Joomla und ganz besonders um die Komponenten/Templates/Plugins davon machen. Die Erweiterungen werden häufig mit Fehlern entwickelt, vor der Veröffentlichung nicht überprüft und Hacker haben es ganz gezielt darauf abgesehen. Wenn dann Shop und andere Projekte im gleichen Web-Account liegen, kann das schnell unbequem werden.

    Das mit der .htaccess ist in der heutigen Zeit aber nicht mehr wirklich hilfreich. Gerade dann, wenn das System eine Datenbank verwendet und ggf. eine Schwachstelle ausgenutzt wird, über die Dateien gelesen oder gar geschrieben werden können. Je nach Konfiguration des Servers ist das auch über Umwege möglich. Da interessiert sich der Angreifer herzlich wenig für den Adminbereich, wenn er sich Zugriff auf die Datenbank verschaffen kann oder gleich eine PHP-Shell ins Verzeichnis legt und sich quasi ein Backup vom kompletten Account zieht.

    Wichtig ist immer, dass sämtliche Passwörter - die in irgendeiner Weise administrativen Zugang (Shop, Datenbank, FTP, Mail...) ermöglichen - möglichst sicher sind. Den Adminbereich zusätzlich abzuschirmen ist aber meist nicht unbedingt wirksam.

    So... Das waren dann mal meine 2 cent... :)
     
  9. gesundheitsgeber

    gesundheitsgeber Erfahrener Benutzer

    Registriert seit:
    27. Januar 2014
    Beiträge:
    253
    Danke erhalten:
    4
    Danke vergeben:
    75
    Hallo Herr Frenzel,

    vielen vielen Dank für diese ausführliche Antwort. Ich bin jetzt wirklich beruhigt - werde mir aber die Anmerkungen bzgl Joomla und WP nochmal zum Anlass nehmen da kritisch die Plugins zu begutachten. Wobei ich da auch schon darauf achte nur wenige zu verwenden.

    Wie kann man denn den Zugriff auf die Datenbank noch sicherer machen - ausser sicheren PW und dem Schutz den der Hoster ja auch schon sicherstellt.

    Viele Grüße und schönes WE an alle...
     
  10. Dennis (Print-Weilburg.de)

    Dennis (Print-Weilburg.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    30.355
    Danke erhalten:
    5.905
    Danke vergeben:
    1.053
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    Wie oben schon geschrieben gilt das mit Modulen usw auch bei Gambio - Daher sollte man nciht von jeder quelle Module nutzen. In jedem System sind externe Dinge meistens die Schwachstellen.
    Die meisten DB sind eh nur von dem Server aus aufrufbar, direkte angriffe sind glaub eher selten. Wenn man auf deinen FTP bzw. an die Dateien rankommt is es eh egal dann kann er auch an die DB. Den die zugangsdaten kennt der Shop ja.
    Daher is es ja so wichtig das man weder er FTP (ssh usw) drauf kann und nicht durch Lücken hinten rum an die Dateien / Daten.
    Du selbst kannst eigentlich nur
    1. Sichere Passwörter nutzen - AM Besten überall ein anderes. diverse zeichen usw nutzen usw.
    2. Deinen PC absichern. Den da können angreifer auch ausspähen wie sie dran kommen.
     
  11. gesundheitsgeber

    gesundheitsgeber Erfahrener Benutzer

    Registriert seit:
    27. Januar 2014
    Beiträge:
    253
    Danke erhalten:
    4
    Danke vergeben:
    75
    Hi Dennis,

    alles klaro - dann muss ich mich von 12345 verabschieden ;-) Nein im Ernst - vielen Dank für eure Hilfe und Tipps. Werde ich auf jeden Fall noch mehr drauf achten...

    Liebe Grüße