Wenn Sie einen Onlineshop auf Magento-Basis nutzen, sollten Sie jetzt dringend die Einstellungen Ihrer Installation überprüfen. Eine schon fast ein halbes Jahr lang bekannte Sicherheitslücke erlaubt nämlich die Kompromittierung der Installation und bringt so die Kunden Ihres Shops in Gefahr. Der Hersteller der Software arbeitet angeblich an einem Patch, gibt aber keine Informationen dazu bekannt.
Defensecode hat wegen der Untätigkeit des Herstellers ein Security Advisory ausgegeben, das jetzt eine hohe Gefahr für Betreiber von Magento-Systemen darstellt. Laut Defensecode wurden die Magento-Entwickler aber schon im November 2016 auf die Sicherheitslücke aufmerksam gemacht. Magento reagierte darauf sogar am Tag der Meldung und bestätigte Defensecode, dass man die Sicherheitslücke kenne.
Es gibt dazu zwar noch keinen Fix vom Hersteller, aber eine schnelle Abhilfe, die wir hier kurz erklären wollen:
Nach Angaben von Defensecode gibt es eine recht einfache Möglichkeit, diesen Angriffen vorzubeugen: Die Einstellung “Add Secret Key to URLs” muss in Ihrem Shop aktiviert werden. Von Magento selbst gibt es nach einem halben Jahr immer noch keinerlei Unterstützung.
Zum Schutz der Besucher Ihres Magento-Shops sollten Sie jetzt umgehend reagieren. Magento kommuniziert solche Probleme häufig nicht so, wie es eigentlich nötig wäre…
