Onlangs zijn er 34 veiligheidslekken in Magento 2.0.x en 2.1.x ontdekt en opgelost in een patch. De lekken zijn aanwezig in alle versies van Magento 2.0.x en 2.1.x, zowel Magento Open Source (voorheen Magento Community) als Magento Commerce (voorheen Magento Enterprise) shops hebben hiermee te maken. Officieel zijn er enkel patches beschikbaar voor de Magento 2.0 en Magento 2.1 reeks.

Wat zijn de 34 lekken van Magento 2?

• APPSEC-1800: Remote Code Execution vulnerability in CMS and layouts
  
  • CVSSv3 Severity: 8.2 (Critical)
• APPSEC-1887: Arbitrary File Disclose
  
  • CVSSv3 Severity: 7.8 (High)
• APPSEC-1850: Arbitrary File Delete
  
  • CVSSv3 Severity: 6.8 (High)
• APPSEC-1851: Arbitrary file delete + Lack of input sanitization leading to Remote Code Execution
  
  • CVSSv3 Severity: 6.8 (High)
• APPSEC-1567: Order history disclosure
  
  • CVSSv3 Severity: 6.7 (Medium)
• APPSEC-1769: Overwrite a Relative Path in Sitemap
  
  • CVSSv3 Severity: 6.5 (Medium)
• APPSEC-1713: Setup pages expose sensitive data
  
  • CVSSv3 Severity: 6.4 (Medium)
• APPSEC-1852: CSRF + Stored Cross Site Scripting (customer group)
  
  • CVSSv3 Severity: 6.0 (Medium)
• APPSEC-1482: Security Issue with referrer
  
  • CVSSv3 Severity: 5.9 (Medium)
• APPSEC-1502: Stored XSS - Add new group in Attribute set name
  
  • CVSSv3 Severity: 5.9 (Medium)
• APPSEC-1494: AdminNotification Stored XSS
  
  • CVSSv3 Severity: 5.9 (Medium)
• APPSEC-1793: Potential file uploads solely protected by .htaccess
  
  • CVSSv3 Severity: 5.8 (Medium)
• APPSEC-1819: Customer login authenticates two different sessions
  
  • CVSSv3 Severity: 5.8 (Medium)
• APPSEC-1802: Customer registration through frontend does not have anti-CSRF protection
  
  • CVSSv3 Severity: 5.8 (Medium)
• APPSEC-1493: CMS Page Title Stored XSS
  
  • CVSSv3 Severity: 5.8 (Medium)
• APPSEC-1755: Anti-CSRF form_key is not changed after login
  
  • CVSSv3 Severity: 5.8 (Medium)
• APPSEC-1853: CSRF + Stored Cross Site Scripting in newsletter template
  
  • CVSSv3 Severity: 5.5 (Medium)
• APPSEC-1729: XSS in admin order view using order status label in Magento
  
  • CVSSv3 Severity: 5.5 (Medium)
• APPSEC-1775: Stored Cross-Site Scripting in email template bypass
  
  • CVSSv3 Severity: 5.5 (Medium)
• APPSEC-1591: Stored XSS on product thumbnail
  
  • CVSSv3 Severity: 5.5 (Medium)
• APPSEC-1896: Possible XSS in admin order view using order code label
  
  • CVSSv3 Severity: 5.5 (Medium)
• APPSEC-1673: Stored xss using svg images in Favicon
  
  • CVSSv3 Severity: 5.5 (Medium)
• APPSEC-1773: Injection on Page leading to DoS
  
  • CVSSv3 Severity: 5.5 (Medium)
• APPSEC-1577: Stored XSS in integration activation
  
  • CVSSv3 Severity: 5.5 (Medium)
• APPSEC-1510: Any admin user can upload Favicon Icon
  
  • CVSSv3 Severity: 5.5 (Medium)
• APPSEC-1545: Stored XSS through customer group name in admin panel
  
  • CVSSv3 Severity: 5.5 (Medium)
• APPSEC-1535: Access Control Lists not validated when using quick edit mode in tables
  
  • CVSSv3 Severity: 5.0 (Medium)
• APPSEC-1588: Order Item Custom Option Disclosure
  
  • CVSSv3 Severity: 4.9 (Medium)
• APPSEC-1701: API token does not correctly expire
  
  • CVSSv3 Severity: 4.9 (Medium)
• APPSEC-1630: Anonymous users can view upgrade progress updates
  
  • CVSSv3 Severity: 4.8 (Medium)
• APPSEC-1628: Full Path Disclosure Web Root Directory
  
  • CVSSv3 Severity: 4.4 (Medium)
• APPSEC-1599: Admin login does not handle autocomplete feature correctly
  
  • CVSSv3 Severity: 4.1 (Medium)
• APPSEC-1709: Customer email emumeration through frontend login
  
  • CVSSv3 Severity: 3.9 (Low)
• APPSEC-1495: Any user can interact with the sales order function despite not being authorized
  
  • CVSSv3 Severity: 3.8 (Low)

Belangrijk!

Gebruik Magento 2.0.16 of 2.1.9 CE of EE voor alle nieuwe Community of Enterprise installaties en upgrades om zo de nieuwste verbeteringen, features en beveiligingsupdates te krijgen.

Wat moet ik doen om Magento Security issues te bestrijden?

Wij raden onze klanten zo spoedig mogelijk te patchen.

Via de Magento 2 CLI of Magento 2 setup GUI is het mogelijk de Magento 2 security patch te installeren. Maak altijd eerst een backup van de database en bestanden voor de patch wordt geïmplementeerd.

Op 12 oktober 2017 om 19:00 is het weer zover. De eerstvolgende Magento User Group (MUG) zal dan georganiseerd worden op het hoofdkantoor van SupportDesk. Ook deze keer beloofd het weer een interessante sessie te worden met deze keer als thema: de top 10 extensie voor Magento 2!

Voor Magento 1 is al meerdere malen een MUG toegewijd aan de “top 10 extensies”. Afgelopen jaar is er echter een flinke toename geconstateerd van (Magento 1) webshops die naar het Magento 2 platform zijn overgestapt, of willen overstappen. Deze MUG willen we ons dan ook gaan richten op de “top 10 extensies voor Magento 2”. Welke extensies zijn must voor jouw Magento 2 shop en welke moet je met een flinke boog omheen lopen? En zijn er wel Magento 2 extensies beschikbaar die jouw (Nederlandse) markt ondersteunen?

Dus ben je aan het overwegen over te stappen naar Magento 2, op zoek naar nieuwe extensies, of wil je juist jouw bevindingen over Magento 2 extensies geven? Tijdens deze MUG ben je op het juiste adres! Voorafgaand aan de MUG zal SupportDesk enthousiaste Magento 2 webshopeigenaren benaderen om hun persoonlijke top 10 samen te stellen. Deze zullen tijdens de MUG dan uitgebreid besproken worden.

Ook zullen we, zoals voorgaand keren, kijken naar waar extensies het meest op beoordeeld worden. Zijn voor jou louter de beoordelingen de doorslaggevende factor, of telt de bereikbaarheid van de developer en diens mogelijkheid om snel issues op te pakken ook mee? Ook voor developers is deze MUG dus een ideale gelegenheid om inzicht te krijgen in de factoren waar mensen extensies op beoordelen.

Dus ben je een webshopeigenaar, developer, kom je om een extensie aan te prijzen of alleen om te luisteren? Je gaat na deze MUG hoe dan ook met een hoofd bomvol kennis en inspiratie naar huis. Voor iedereen die meer inzicht in de top 10 Magento 2 extensies wilt is dit een must-visit.

RSVP via deze link

meer info   of   

Bel nu! 020 337 5961

Je ziet door de bomen het bos niet meer. Dit is een gezegde dat veel naar voren komt bij het zoeken naar de juiste module voor een webshop. Onder andere op het gebied van e-mail marketing komen er steeds meer tools bij, en de keuze om de beste tool te kiezen voor jouw Magento shop wordt er hiermee niet makkelijker op gemaakt. Elke e-mail marketingtool, ook wel E-mail Service Provider (ESP) genoemd, beloofd een scala aan opties te hebben die jouw webshop naar het volgende niveau kan tillen op het gebied van branding, e-mail-marketing, conversie en nog veel meer. En ze zijn hier allemaal, al zeggen ze het zelf, de beste in.

Om dit digitale bos van E-mail Service Providers (ESP) weer overzichtelijk te maken heeft SupportDesk een onderzoek gedaan naar het aanbod van deze tools. Dit onderzoek kwam voort nadat een van onze klanten om hulp vroeg bij het zoeken naar de ESP die het beste aansloot op diverse markt- en bedrijfsspecifieke wensen. Met succes heeft SupportDesk hier een passend advies op kunnen geven.

Wat is een E-mail Service Provider (ESP)?

Een E-mail Service Provider is de schakel tussen de verzender en ontvanger van een e-mail. De ESP zorgt ervoor dat jouw e-mails, zoals bijvoorbeeld nieuwsbrieven, correct arriveren bij de ontvanger. Onder correct arriveren verstaan we dat deze goed te lezen zijn in alle browsers en smartphones en vaak verkleinen ze de kans dat ze terecht komen in een “spambox”. Ook op het gebied van “business analytics” kan een ESP een steentje bijdragen. Inzicht in hoeveel mensen de e-mail hebben geopend, wie heeft doorgeklikt en naar welk onderdeel van jouw website wordt helder gepresenteerd. De effectiviteit van jouw e-mail campagnes en inzicht in je doelgroepen zijn hiermee goed in kaart te brengen.

Het kiezen van de juiste Magento E-mail Service Provider (ESP)

De moeilijkste vraag voor velen is dus met welke ESP je in zee dient te gaan. Er zijn onderhand zoveel E-mail Service Providers voor het Magento platform (56, alleen al op de Magento Marketplace) dat het een grote uitdaging is om juist die ene ESP eruit te pikken die het beste past bij jouw Magento shop.

Om deze vraag makkelijker te kunnen beantwoorden is het van belang goed te bedenken wat je precies zoekt in een E-mail Service Provider. Door dit goed in kaart te brengen bespaar je jezelf veel tijd met zoeken en vergroot je de kans op een beter aansluitende ESP. Het proces van de zoektocht naar de beste Email Service Provider bestaat, kernachtig, uit drie stappen:

1. Het bepalen en vormgeven van jouw e-mail marketing ambities

Je hebt al een globaal idee in je hoofd maar je doet er goed aan hier iets langer bij stil te staan. Op het moment dat jij je e-mail ambities gaat concretiseren en deze een plek gaat geven in de organisatie krijg je een duidelijker beeld van wat je precies in een ESP zoekt. Waar wil je e-mail marketing voor inzetten, wie is er verantwoordelijk, hoeveel technische kennis is er in huis, wat mag het kosten, hoe richt ik mijn e-mail marketingproces in? Dit zijn enkele vragen die je inzichtelijk wilt krijgen alvorens je aan een zoektocht begint.

2. Verzamelen en wegfilteren van E-mail service providers

Nu je al jouw wensen en ambities in kaart hebt gebracht is het tijd om te ESP’s te verzamelen en deze te filteren. Alle ESP’s (300+) zijn te vinden op deze link. Het filteren is echter een meer tijdrovend onderdeel. SupportDesk heeft hiervoor de E-mail Service Providers gesegmenteerd waardoor er snel te filteren is op wensen die onder andere “aanwezig / niet aanwezig” zijn en “simpel / uitgebreid”. De onderwerpen van de segmentaties zijn ook zeker te gebruiken als vragen bij het vormgeven van de e-mail marketing ambities.

Onderstaand een greep van de vragen en functies die wij hebben gebruikt om de E-mail Marketing Services te segmenteren.

E-mail Service Provider (ESP) voor Magento 1.x of Magento 2.x?

Dat de ESP aansluit op jouw platform is natuurlijk vereiste nummer één. Immers, niet elke E-mail service provider ondersteund beide platformen. Als je momenteel een Magento 1 shop hebt kun je deze vraag ook toekomstgericht stellen: Stap ik binnenkort over naar Magento 2 en wil ik dat mijn E-mail Service Provider Magento 2 Ready is? Hier rekening mee houden kan veel geld en moeite besparen in de toekomst.

E-mail Service Provider (ESP) Integratie met Magento transactionele e-mails?

Transactionele e-mails zijn e-mails die (automatisch) verstuurd worden nadat er door de klant in je webshop een actie is uitgevoerd. Deze actie, bijvoorbeeld een bestelling, zorgt voor een verzending van een orderbevestiging, factuur, creditnota of een verzendingsbevestiging in opvolging van de bestelling. Niet alleen acties voortvloeiend uit bestellingen maar ook aan- en afmeldingen van een nieuwsbrief en voorraad statussen behoren tot de opties. Een ESP die deze integratie ondersteund kan, onder andere, de volgende voordelen opleveren:

• personaliseren van transactionele e-mails
• Meer bereik doordat minder e-mails in de spamfilter belanden
• Makkelijker beheren en aanpassingen doen
• Meer statistieken om jouw business te sturen

Kanttekening: De bovenstaande opties zijn (deels) ook mogelijk in Magento. Echter vergt dit veel meer technische kennis, development werk en tijd.

E-mail Service Provider (ESP) segmentatie opties

Segmentatie opties zijn de opties die je binnen de E-mail Service Provider hebt om je klanten te filteren en te categoriseren, zoals bestedingsgrootte, regio en leeftijd. Dit geeft je de mogelijkheid gerichter je klanten te kunnen benaderen met e-mailcampagnes. Heeft jouw e-business grote baat bij geavanceerde klantsegmentaties? Kijk dan goed naar de segmentatieopties.

E-mail Service Provider (ESP) Campagne functies

Sommige webshops gebruiken een campagne alleen om een maandelijkse nieuwsbrief te versturen, maar je kunt hier natuurlijk nog veel meer mee. Er zijn campagne opties die jouw klanten:

• Een leuke mail sturen op hun verjaardag
• Een reminder sturen, bijvoorbeeld 3 maanden na aankoop of tijdens een seizoen
• (ingelogde) klanten een mail sturen die met een volle winkelwagen jouw website hebben verlaten (Abandoned Cart option)

Het is dus goed om na te denken over welke opties een toegevoegde waarde hebben voor jouw webshop, deze opties kunnen een grote impact hebben op jouw klant-loyaliteit en tevredenheid. Heb je deze opties niet nodig, dan kun je dus voor een simpelere versie gaan. Scheelt weer in de kosten.

E-mail Service Provider (ESP) dashboard

Hecht je veel waarde aan statistieken? Kijk dan goed naar de opties die het dashboard heeft. Zijn dit voor gedefinieerde metrics of heb je ook de opties deze zelf vorm te geven? Vaak is dit gerelateerd met de transactionele e-mail integratie, want hoe meer informatie jij uit je Magento shop kan halen des te meer data je hebt om jouw e-mail marketing te sturen. Meten is weten!

E-mail Service Provider (ESP) Prijs en voorwaarden

Last but not least, de prijs. Nu je een hoop ESP’s hebt weg kunnen filteren en nog maar een handjevol van de beste over hebt, kun je prijzen gaan vergelijken. De kosten om een e-mail te sturen kunnen nog weleens verschillen tussen de E-mail Service Providers. Dit is deels omdat de ene ESP groter en uitgebreider is dan de andere maar ook door de verschillende prijsmodellen die ze hanteren, zoals op basis van licenties, modules, CPM (costs per mail) en services.

3. Pick a winner

Er blijven een paar ESP’s over die aan al jouw wensen voldoen en vaak is “prijs en voorwaarden” daarna de doorslaggevende factor. Indien mogelijk, vraag een demo aan zodat je de gelegenheid hebt om eerst bekend te raken met de E-mail Service Provider. Als deze daadwerkelijk perfect aansluit en je tot aanschaffen over wilt gaan, probeer eerst te onderhandelen. Hier zit vaak nog wat ruimte in, vooral als je een grote e-maildatabase hebt.

De zoektocht naar de beste Email Service Provider kan dus flink wat tijd en moeite kosten. Hoe belangrijker e-mail marketing is voor jouw organisatie, hoer meer variabelen er zijn waar je rekening mee dient te houden.

SupportDesk en Email Service Providers (ESP)

SupportDesk heeft met het ESP onderzoek veel ESP’s verzameld en diens functionaliteiten gesegmenteerd. Ben je op het moment op zoek naar een Email Service Provider maar zie je door de bomen het bos niet meer? Wil je graag een sparringspartner voor jouw e-mailmarketing ambities en weten welke ESP het beste past bij jouw Magento 1 of Magento 2 shop? neem gerust contact met ons op.

Om de zoektocht wat makkelijker te maken zal er binnenkort een vervolg komen op deze blog. Hierin zal een selectie van Email Service Providers worden beschreven die, volgens ons, goed uit het onderzoek zijn gekomen en verdere toelichting verdienen.

Bel nu! 020 337 5961

Alweer een nieuwe security patch! Als Magento webshopeigenaar vliegen ze je gemiddeld zo'n 6x per jaar om de oren. Geregeld krijgen wij dan ook de vraag of het wel de energie en geld waard is om óók deze patch weer te moeten installeren.

Een supergoeie SEO strategie, mobile friendly pages, een nette catalogus en een strak (front-end) design zijn punten die tot de topprioriteiten horen bij menig webshopeigenaar. De Magento security patch blijkt echter een inferieur imago te hebben en komt bij menig webshopeigenaar onderaan de prioriteitenlijst. Omdat de Magento security patch, naar onze mening, hoog in de prioriteitenlijst hoort te staan, willen wij graag wat licht schijnen op dit onderwerp en het belang ervan.

Wat is een Magento security patch?

Een Magento security patch is een “digitale” pleister die men op de (digitale) wond van een stuk (Magento) software plakt. De pleister bestaat in dit geval uit een pakket met aangepaste bestanden die één of meerdere beveiligingsproblemen (digitale wonden) moeten verhelpen.

Termen als “Address Vulnerability In Zend Framework”, “Magento Shoplift bug” en “Remote Code Execution in the Admin panel” passeren regelmatig de revue als je een Magento shop hebt. Hackers worden steeds genuanceerder in het vinden van lekken en zwakheden in het Magento Framework waardoor er een kans bestaat dat ze bij allerlei gegevens kunnen komen. Het team van Magento brengt om deze reden periodiek patches uit om deze lekken en zwakheden te verhelpen.

is mijn Magento shop veilig?

Er zijn diverse tools beschikbaar waar jij zelf de veiligheidsstatus van jou Magento shop kan checken. De meest bekende tool is MageReport.com. De tool scant in een mum van tijd jouw Magento shop op heel scala aan onderdelen en geeft dan een risico status aan van "High", "Medium" en "Low". Om een beeld te geven waar men allemaal op dient te letten voor een veilige webshop is hier een gedeelte van de punten waar MageReport allemaal op scant:

• Security patches: 5344 / 9767 / 9652 / 5994 / 6285 / 6482 / 8788 / 7405 / 6788
• Brute force attacks
• SLL protection?
• EM_Ajaxproducts RCE vulnerability
• Visbot malware?
• Unprotected version control?

De laagdrempeligheid van MageReport heeft ook een nadeel. Kwaadwillende kunnen óók de tool gebruiken om uw Magento shop te scannen op eventuele zwakheden. Ook om deze reden is het tijdig patchen van jouw shop dus van hoog belang.

Laatste Magento versie

Wanneer een nieuwe patch uitgebracht is komt Magento niet lang erna ook met een nieuwe versie van het Magento Framework. In deze laatste versie zitten alle patches ingebakken en hoeft u dus, tot Magento met een nieuwe beveiligingsupdate uitkomt, geen patches te installeren. Draait uw shop op een oudere versie van Magento en heeft u nog niet alle beschikbare patches geïnstalleerd? Dan is de kans groot dat er diverse beveiligingslekken zijn.

Hoe installeer ik Magento securityPatches?

Zijn er nog digitale pleisters die op jouw Magento shop geplakt moeten worden, dan kun je deze vinden op de Magento Download pagina. Hoewel de stappen voor het installeren van een patch op veel websites redelijk eenduidig staan beschreven (back-up maken, installeren en testen op een ontwikkelomgeving, live zetten), raden wij toch aan dit door een Magento ontwikkelaar te laten doen. In de praktijk loop je vaak tegen uitzonderingen aan en is een Magento ontwikkelaar met technische kennis en ervaring absoluut geen overbodige luxe. Wil je het toch zelf doen? Dan kun je hier lezen hoe dit stapsgewijs moet.

Magento Patching support van SupportDesk

SupportDesk is specialist in het leveren van hoogwaardige Magento Support. Als gecertificeerd Magento developer kunnen wij u ondersteunen met al uw Magento 1 & Magento 2 vraagstukken, en zodoende dus ook bij het installeren van patches en het helpen met beveiligingsproblemen.

Bel nu! 020 337 5961