Magento patch laten installeren

Er verschijnen regelmatig nieuwe Magento beveiligingspatches die u door mij kunt laten installeren op uw webshop. Deze beveiligingsupdates verhelpen fouten en voorkomen inbraken (hacks) op uw webshop. Gemiddeld verschijnen er enkele updates per jaar. Ik installeer niet alleen de patch, ik zorg ook dat alles op uw webshop goed blijft werken. Als bijvoorbeeld de template van uw webshop moet worden aangepast om goed samen te werken met de patch dan kan ik dat ook verzorgen.

Het is niet aan te raden om een Magento webshop online te hebben zonder dat alle beveiligingspatches op een juiste manier zijn geïnstalleerd. Kwaadwillenden kunnen anders vrij eenvoudig de gegevens van uw klanten onderscheppen (email-adressen, wachtwoorden, betaalgegevens etc). Daarnaast kunnen virussen en malware worden geinstalleerd op uw webshop. Geautomatiseerde aanvallen op webshops maken gebruik van elk beveiligingslek dat ze kunnen vinden.

U krijgt een bericht van Magento in uw beheeromgeving als er een beveiligingsupdate voor Magento beschikbaar is. Deze kunt u door mij laten installeren. U kunt er ook voor kiezen Magento te laten upgraden naar de nieuwste versie. In de nieuwste versie zitten ook alle beveiligingspatches. Upgraden naar de nieuwste versie is vaak (veel) meer werk dan alleen een beveiligingspatch laten installeren.

Om een patch te kunnen installeren moeten alle voorgaande patches ook zijn geinstalleerd. Als u dus een aantal patches gemist heeft dan moeten eerst de oude patches nog worden geinstalleerd. Pas daarna kan de nieuwste patch worden geinstalleerd op uw webshop.

Is Magento wel veilig?

Magento is een CMS systeem. CMS staat voor Content Management System ofwel Inhoud Beheersysteem. Met een CMS systeem beheert u de inhoud van uw webshop. Elk CMS systeem is een complex stuk software waar jaren aan is gewerkt. Hackers proberen continu zwakke plekken te vinden om in te breken op deze systemen. Dat geldt voor Magento maar ook voor Joomla, WordPress en alle andere CMS systemen. De bouwers van deze systemen werken voortdurend aan een het oplossen van de zwakke plekken en brengen daar updates, ofwel beveiligingspatches, voor uit. Als deze netjes worden geinstalleerd dan is uw systeem heel veilig en betrouwbaar.

Magento webshop beveiliging laten controleren

Via deze link kunt u zelf controleren welke patches er op uw webshop zijn geinstalleerd en welke er nog ontbreken. Daarnaast geeft de Magereport website een goed beeld van de beveiliging van uw Magento webshop. In principe zou alles groen moeten zijn met een risk level low. Indien dat niet het geval is dan kunt u dit door mij laten verhelpen.

Uitgebrachte Magento Patches

Hieronder is een overzicht per datum van de beveiligingspatches voor Magento. Ik heb ruime ervaring met het installeren van onderstaande patches. Ik weet waar ik op moet letten tijdens het installeren. Ik zorg dat uw webshop na installatie weer helemaal goed functioneert en veilig is. Mocht er al malware zijn geinstalleerd op uw webshop dan kan ik dat ook verwijderen.

31-05-2017 SUPEE-9767

Dit is een wat grotere beveiligingspatch waarbij diverse onderdelen van Magento beter worden beveiligd. Bij deze patch moeten de bestanden van de template vaak handmatig worden aangepast. Met name de afrekenpagina wordt met deze patch beter beveiligd.

07-02-2017 SUPEE-9652

Kleine maar kritieke patch die een groot lek oplost in het Email onderdeel van het Zend Framework. Niet elke webshop zal gebruik maken van dit onderdeel, maar het lek is dermate serieus dat deze patch zeker geinstalleerd moet worden. Door deze patch wordt maar 1 bestand gewijzigd:

/lib/Zend/Mail/Transport/Sendmail.php

25-10-2016 Dirty COW Linux OS Vulnerability

Dit is geen Magento patch maar een algemene waarschuwing voor hostingbedrijven. Het is de verantwoordelijkheid van uw hostingbedrijf dit probleem op te lossen. Het gaat om een bug in het Linux Operating System waarmee een hacker root toegang kan krijgen tot de server. De meeste Magento webshops draaien op een server met het Linux Operating System.

Indien u een unmanaged VPS gebruikt voor de hosting van uw webshop dan bent u zelf verantwoordelijk voor het (laten) patchen van Linux. Dit kunt u doen door een kernel update te installeren en de server te rebooten.

Indien u een Managed hostingpakket heeft voor uw webshop dan kunt u aan uw hostingbedrijf vragen of dit beveiligingsprobleem al is opgelost.

11-10-2016 SUPEE-8788

Kritieke patch die enkele grote lekken in het Zend framework dicht. Deze patch is absoluut noodzakelijk om te laten installeren als u eigenaar bent van een Magento webshop.

23-03-2016 SUPEE-7405 v1.1

Deze patch lost een aantal problemen op die zijn geintroduceerd met de voorgaande patch SUPEE-7405. Er worden met deze patch geen nieuwe beveiligingslekken opgelost. Het is alleen een correctiepatch. Het is wel nodig om eerst SUPEE-7405 te installeren voordat SUPEE-7405 v1.1 kan worden geinstalleerd.

20-01-2016 SUPEE-7405

Deze patch lost een aantal beveiligingslekken op waarmee de admin inlog van een Magento webshop kan worden overgenomen. Het is een kritieke patch. Dat wil zeggen dat Magento adviseert om deze patch zo snel mogelijk te (laten) installeren. Enkele aandachtspunten zijn dat deze patch niet compatible is met php 5.3. Vooral op oudere hostingpaketten kan dit een probleem zijn. Daarnaast krijgen bestanden en directories een strengere beveiliging. Voor sommige hostingomgevingen is deze beveiliging te streng en worden bijvoorbeeld afbeeldingen in de beheeromgeving niet meer getoond. Dat is op te lossen door SUPEE-7405 v1.1 ook te installeren.

27-10-2015 SUPEE-6788

Dit is een grote patch met veel impact op geinstalleerde plugins en templates. Deze patch introduceert beveiligingen waardoor bestaande plugins en templates van een webshop vaak niet meer werken. Speciaal hiervoor heeft Magento de ‘Compatibility modus’ in het leven geroepen. De patch kan dan geinstalleerd worden en oudere plugins blijven dan gewoon werken. Het beste is echter de oude plugins te updaten of te vervangen door nieuwere versies die compatibel zijn met deze patch. Deze patch moet voor veel templates handmatig worden doorgevoerd in de bestanden van de template. De installatiescrips van Magento passen namelijk alleen de ‘core’ files aan en niet de template files.

Een ander aspect van deze patch is dat content ‘blocks’ die in bijvoorbeeld CMS pagina’s worden gebruikt nu aan een whitelist moeten worden toegevoegd, anders worden de blocks niet uitgevoerd.

Een laatste aspect is dat de .htaccess van de webshop wordt aangepast door deze patch. Dit lukt echter niet als de .htaccess maatwerk wijzigingen zoals redirects etc. bevat. In dat geval moet eerst de originele .htaccess van de juiste Magento versie worden teruggezet. Pas daarna kan de patch zonder foutmeldingen worden uitgevoerd. Als de patch is geinstalleerd moeten de .htaccess wijzigingen weer met de hand worden doorgevoerd in het nieuwe .htaccess bestand.

04-08-2015 SUPEE-6482

Deze patch verhelpt een tweetal potentiële beveiligingslekken voor Magento CE (Community Edition). Er worden met deze patch 2 Magento core bestanden aangepast:

app/code/core/Mage/Api/Model/Server/Adapter/Soap.php
app/code/core/Mage/Catalog/Model/Product/Api/V2.php

Deze patch herstelt onder meer een zwakheid in de SOAP API. Klanten die een SOAP koppeling gebruiken moeten deze koppeling goed laten testen na het installeren van deze patch. De SOAP API wordt vaak gebruikt om een Magento webshop te koppelen met externe systemen zoals bijvoorbeeld een boekhoudsysteem.

07-07-2015 SUPEE-6285

Dit is een belangrijke patch waarmee 8 beveiligingsproblemen worden opgelost. Zonder deze patch is het voor hackers vrij eenvoudig klant- en bestelgegevens uit uw webshop te halen. Ook kan er malware worden geinstellaard op uw webshop. Door deze patch worden onder andere de volgende Magento core files overschreven:

app/design/frontend/base/default/template/checkout/cart.phtml
app/design/frontend/base/default/template/checkout/cart/noItems.phtml
app/design/frontend/base/default/template/checkout/onepage/failure.phtml
app/design/frontend/base/default/template/rss/order/details.phtml
app/design/frontend/base/default/template/wishlist/email/rss.phtml

Deze files worden ook vaak overridden door de diverse templates die voor Magento gebruikt kunnen worden. De beveiligingspatch moet dan handmatig worden doorgevoerd in de betreffende template files. Anders is uw webshop niet goed beveiligd. Veel geautomatiseerde patch systemen vergeten dit, en passen alleen de Magento core files aan.

Indien één van de core files was gewijzigd, door bijvoorbeeld een Magento ontwikkelaar, dan kan de patch niet zomaar worden geinstalleerd. Eerst moeten dan alle originele core files worden teruggezet van de juiste Magento versie. Daarna kan de patch worden uitgevoerd. De wijzigingen in de core files moeten daarna met de hand weer worden teruggezet in de bestanden. Het is overigens niet aan te raden direct de core files te wijzigen. Het is beter om gebruik te maken van het Magento override systeem.

Een ander aandachtspunt bij deze patch is dat externe plugins soms ook moeten worden geupdate. Dit geldt bijvoorbeeld voor de PostNL plugin van TIG die op veel webshops wordt gebruikt.

14-05-2015 SUPEE-5994

Met deze patch worden 8 beveiligingsproblemen verholpen. Met name klantgegevens worden met deze update beter beveiligd. Ook kan de locatie van de admin beheeromgeving niet meer door iedereen opgevraagd worden.

09-02-2015 SUPEE-5344

Deze patch wordt ook wel de ‘shoplift bug’ patch genoemd. Deze patch voorkomt dat aanvallers toegang krijgen tot de Admin login van uw webshop. Via de Admin login is het vervolgens vrij eenvoudig om kwaadaardige software te installeren. Dit is een kritieke patch die zo snel mogelijk geïnstalleerd moet worden op uw webshop. Als er onbekende Admin accounts zijn aangemaakt op uw webshop dan is de kans groot dat uw shop gehackt is.

03-10-2014 SUPEE-1533

Deze patch voorkomt het uitvoeren van ongewenste code op uw webshop waarmee bestanden kunnen worden aangepast.

17-01-2014 APPSEC-212

Deze patch voorkomt problemen indien in uw hosting omgeving gebruik wordt gemaakt van symlinks.

Wanneer een patch laten installeren?

Als u na het inloggen op uw Magento beheeromgeving een popup krijgt met een bericht zoals hieronder dan is het tijd om actie te ondernemen. Vooral als het woord ‘Critical’ genoemd wordt met een rood uitroepteken dan is uw webshop niet langer veilig tot de nieuwe patch is geïnstalleerd.

Magento beveiligingspatch melding

Magento beveiligingspatch melding