Hi Zusammen,

In Sachen Sicherheit und Sicherheitslücken konnte ich bei Shopware selbst nichts finden. Probleme jedoch kommen dann auch wenn andere Module (PHP), Webserver (AddOn’s) und sonstige Root Server Dienste, zum Einsatz kommen. Dort und genau da lauert die größte Gefahr, Script Kiddies die Toren zu öffnen und Angreifern eine Möglichkeit zugeben.

Eine permanente Überwachung des eigenen Servers ist unabdingbar und ohne jegliche Verantwortung, wenn man sich nicht selbst und Pro-Aktiv darum kümmert.

Shopware selbst, ist eines der besten am Markt verfügbaren Shop-Systeme und verfügt eine große Community die jederzeit gewillt und in der Lage ist auf Probleme einzugehen. Plugins werde fast ausnahmslos über Shopware selbst angeboten und liefern in der Regel wenig Angriffsfläche, solche bei denen es ermöglicht wird Daten, Bilder usw. durch Kunden hochladen zulassen gilt hier ein besonderes Augenmerk, sofern diese auf zusätzlich zu installierende Server-Erweiterungen zugreifen müssen.

Die Aufgaben zur Sicherstellung der Sicherheit sind vielseitig und sollten nur von fachkundigen Personen und Organisationen ausgeführt werden. Eine einfache Liste mit den grundlegendsten Anforderungen sollte jeder im Kopf haben. Also die Top 20 der zur Problemlösung:

Top 01: Root Server absichern mit Benutzername: root und Passwort: root

Top 02: FTP Server ohne S einsetzen, und Zugriff über Anonym erlauben

Top 03: Hosting in einem nicht EU Mitgliedstaats einrichten (garantierte Abmahnung), oder dort shared Hosting betreiben

Top 04: Server Ports alle offenlegen und auch nicht gegen Port-Scans absichern

Top 05: Auf keinen Fall Server updates einspielen, dies könnten es nur verschlimmbessern

Top 06: Shopware updates niemals einspielen, diese könnten Performance Verbesserungen herbeiführen oder noch schlimmer Sicherheitslücken schliessen

Top 07:  Komplett auf Passwörter für Kunden verzichten, Eingabe der E-Mail Adresse sollte genügend sein.

Top 09: Top 08 vergessen

Top 10: Ever-Cookies einsetzen, damit der Kunde ja nicht sich dem Tracking entziehen kann, auf modifizierte und verschlüsselte Cookies komplett verzichten.

Top 11: überlege noch

Top 12: Mysql Datenbank Inhalte nicht verschlüsseln, damit wenn mal was gestohlen wird der Dieb auf anhieb die Kreditkateninformationen sich ziehen kann und die Email Adressen auslesen. Falls du ebenso Top 07 einsetzt, dann brauchst du dir wegen den Passwörtern keine Gedanken mehr machen.

Top 13: Fahre den Server auf jeden Fall an einem Freitag den 13. herunter (schon in der Nacht) ich bin auch abergläubisch.

Top 14: Wenn du schon zusätzliche Webserver Module installierst, dann aus gänzlich unbekannten und unsicheren Quellen, das erspart dir die Hackerangriffe,

Top 15: Gehe auf jede Schutzgeld Zahlung ein die man dir per Email aufdrückt, plane hierzu 10.000 Euro im Monat ein, die du dann auf die Produktpreise aufschlagen solltest. (Dr. Kaputo aus Uganda steht da an erster Stelle)

Top 16: Falls dein Shop gekapert sein sollte, heuere Dr. Kaputo an und erkläre Ihm, dass sonst kein Geld mehr fließen kann.

Top 17: Geheime Dokumente, bitte direkt im Hauptverzeichnis deines Servers ablegen mit den dazugehörenden Passwörtern. Beispiel:  TopGeheim-pw-admin123.xls oder TopGeheim-pw-admin12345678.xls  (damit bist du auf der sicheren Seite – Tip hier: Lange Passwörter mit mindestens 8 Zeichen

Top 18: Nutze einen Windows XP Computer

Top 19: Aus Performance Gründen würde ich die vielen LogDateien die dein Server anhäuft einfach abschalten, Zeit hast du sowieso keine, Ahnung brauchst du nicht, und Platz auf der Serverplatte wird dann frei.

Top 20: Verzichte komplett auf ein redundantes Festplatten System, wenn mal alles läuft mach es eh bald keinen Spaß mehr.

Top 21: Datenbank Sicherungen erst gar nicht anlegen, und falls doch, diese auf keinen Fall per Email versenden, falls doch dann nur über Email Provider aus Übersee