Mittwoch, 11. November 2020

Security - Hohe Sicherheitsstandards garantieren Ihnen eine sorgenfreie Shop-Verwaltung

Smartstore testet regelmäßig den Code der Kernanwendung auf Sicherheitsschwachstellen. Wir arbeiten mit Sicherheitsforschern, Projektbetreuern und Entwicklern zusammen, um zu verhindern, dass neue Sicherheitslücken in Smartstore gelangen. 

Patches für Mängel und Sicherheitsprobleme werden den Kunden zeitnah zur Verfügung gestellt. Zur Prüfung und Verifizierung der Konformität werden verschiedene Tools zur Schwachstellenbewertung und externe Anbieter eingesetzt. Die komplette Codebasis wird regelmäßig mit diesen Tools gescannt.

Auch arbeiten wir mit GitHub Security Lab zusammen, um betroffene Repositorien frühzeitig zu identifizieren und Smartstore sicher zu machen. Falls Sie dennoch eine Schwachstelle in Smartstore festgestellt haben, bitten wir Sie, uns unmittelbar zu informieren. 

Der wichtigste Grund, weshalb Sie Ihren Online-Shop schützen sollten, ist, dass Sie auch Ihre Kundendaten schützen müssen.

Diese Bordmittel gewährleisten einen sicheren Betrieb Ihres Smartstore Online-Shops


Granulare Rechteverwaltung (ACL) mittels Baumstruktur und Menüsteuerung (Menu Builder) über Kundengruppen

Die Rechteverwaltung (ACL) in Smartstore ermöglicht eine sehr feine Ausweisung von Rechten. Die Zuweisung und Kontrolle von Rechten erfolgt im visuellen Editor in einer Baumstruktur. Differenzierte Rechte erlauben eine sehr präzise personen- und rollenspezifische Vergabe von Rechten über Kunden und Kundengruppen. Über Kundengruppen können z.B. Menüs, Steuerelemente, Seiten, Warengruppen und Produkte gesteuert werden. Über die Rechtverwaltung werden Mitarbeiter nur mit den Rechten ausgestattet, welche sie auch benötigen.

ACL ist hilfreich, um sicherzustellen, dass niemand Änderungen in den Bereichen vornimmt, die nicht in seiner Verantwortung liegen. Mittels ACL können auch externe, automatisierte Zugriffe per Web-API sehr genau gesteuert werden.

Das "ACL" Feature ist eine Eigenentwicklung der Smartstore AG für die Smartstore E-Commerce Software und schon ab der Community Edition enthalten.


Der Smartstore Menu Builder und die CMS-Seiten-Navigation

Der Smartstore Menu Builder ist ein visueller Manager für alle Arten von Menüs. So können eigene CMS-Seiten nahtlos in bestehende Menüs oder einfach in eine neue Menü-Struktur, an beliebiger Stelle, eingebettet werden, ganz ohne eine Zeile zu programmieren. Alle Menü-Einträge, also bestehende System-Menüs und auch selbst erstellte Menü-Einträge, können per Rechteverwaltung eingeschränkt werden. Entdecken Sie das neue Aussehen von Smartstore auf eine neue Art und Weise!

Vorteile:

  • Verbesserte Benutzererfahrung durch professionell gestaltetes Menü
  • Einfaches Content Marketing durch Einfügen von neuem Content in bestehende Shop-Navigation
  • Allgemein bessere Usability
  • Inhalte, Teil-Menüs und Menü-Strukturen können zielgruppenorientiert angezeigt werden


Inhalte zielgruppenorientiert über Kundengruppen anzeigen und verbergen

Die Begrenzung auf Kundengruppen ermöglicht es dem Shop-Administrator, den Zugriff auf Produkte, Kategorien, CMS-Seiten und weitere auf der Grundlage von Benutzergruppen einzuschränken. Der Administrator kann für jede Benutzergruppe gewissermaßen einen privaten Bereich erstellen, in dem nur Seiten und Produkte angezeigt werden, die nur dieser Gruppe zugeordnet sind.

Per Kundengruppen können folgenden Elemente eingeschränkt werden:

  • Warengruppen
  • Produkte
  • Rabatte
  • Hersteller/Marken
  • Seiten
  • Menüs bzw. einzelne Menüeinträge

Die Rechteverwaltung über Kundengruppen ist ein sehr leistungsstarkes und dennoch einfach zu verwendendes Feature. Der Shop-Admin hat die Flexibilität, über Einschränkungen von Produkten, Warengruppen, einzelnen CMS-Seiten und Menüs Kundengruppen eigene Bereiche bereitzustellen. So können einem Großkunden nur Produkte in passend großen Gebinden, oder auch direkt eine eigene Seite mit speziellen Produkten nur für diesen Kunden angezeigt werden.

Das "Kundengruppen"-Feature ist eine Eigenentwicklung der Smartstore AG für die Smartstore E-Commerce Software und schon ab der Community Edition enthalten.


Verschlüsselung sensibler Daten per privatem Schlüssel

Bei der Verschlüsselung durch einen „private Key“ handelt es sich um ein Verschlüsselungsverfahren, bei dem sensible Daten mithilfe eines Schlüssels, hier eine Zahlenreihe, verschlüsselt und entschlüsselt werden. Smartstore nutzt dieses sehr sichere Verfahren bei sensiblen Daten wie Kennwörtern, Kreditkarten- und Bank-Daten. „Private“ bedeutet, dass der Schlüssel auf gar keinen Fall weitergegeben oder veröffentlicht werden darf.


reCAPTCHA auf allen Interaktionsseiten

Google reCAPTCHA schützt Ihre Website vor Betrug und Missbrauch

Google reCAPTCHA verwendet eine fortschrittliche Risikoanalyse-Engine und adaptive Herausforderungen, um zu verhindern, dass bösartige Software missbräuchliche Aktivitäten auf Ihrer Website ausführt. In der Zwischenzeit können sich legitime Benutzer anmelden, Einkäufe tätigen, Seiten anzeigen oder Konten erstellen, und gefälschte Benutzer werden blockiert.

Der reCAPTCHA-Vorteil

  • Bewährt: reCAPTCHA ist seit über einem Jahrzehnt führend in der Bot-Minderung
  • Kundenfreundlich: Ein reibungsloser Betrugserkennungsdienst, der Bots und andere automatisierte Angriffe stoppt und gleichzeitig gültige Benutzer genehmigt
  • Adaptiv: Die risikobasierten Bot-Algorithmen von reCAPTCHA wenden kontinuierliches maschinelles Lernen an, das jede Kunden- und Bot-Interaktion berücksichtigt, um die binäre heuristische Logik traditioneller herausforderungsbasierter Bot-Erkennungstechnologien zu überwinden

Weitere Anwendungsfälle

  • Scraping: Diebstahl von Inhalten zur Umleitung von Werbeeinnahmen oder zur Verwendung im Wettbewerb
  • Betrügerische Transaktionen: Kauf von Waren oder Geschenkkarten mit gestohlenen Kreditkarten
  • Kontoübernahmen (ATO): Ausfüllen von Anmeldeinformationen zur Validierung gestohlener Konten
  • Synthetische Konten: Erstellung neuer Konten für Werbewert oder zukünftigen Missbrauch
  • Falsche Beiträge: Veröffentlichung von böswilligen Links oder Verbreitung von Fehlinformationen
  • Geldwäsche: Bot generierte Ad-Click-Einnahmen auf betrügerischen Websites

Geo-Blocker

Cyperangriffe nehmen deutlich zu. DoS- oder DDos-Attacken sind eine Gefahr für den E-Commerce. Immer mehr Onlineshops werden so zeitweise lahmgelegt. Auch werden gerne Fake-Kundenkonten angelegt, um z.B. in Bewertungen Spam unterzubringen. Viel gefährlicher sind aber direkte Hacker-Angriffe von hunderten oder tausenden Bots gleichzeitig. Der Geo-Blocker schützt Ihren Smartstore Onlineshop vor diesen gefahren.

Funktionsübersicht

  • Die Smartstore Geo-Lock-Technologie erkennt den genauen Standort der Besucher
  • Zugriffsbeschränkung aufgrund Geo-Location und/oder IP-Adressen
  • Definition von IP-Adressen mit Wertebereichen
  • Ausnahmeregel für registrierte Kunden

Das Smartstore "Geo-Blocker" Plugin ist eine Eigenentwicklung der Smartstore AG für die Smartstore E-Commerce Software und in der Smartstore Premium Flat enthalten, darüber hinaus ist das Plugin über den Smartstore Marketplace käuflich zu erwerben.


SSL-Unterstützung

SSL bzw. TLS ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Die Verschlüsselung wird durch Zertifikate bzw. sogenannte Schlüssel realisiert. Eine SSL-Verschlüsselung stellt sicher, dass vertrauliche Informationen wie Kreditkartennummern, Sozialversicherungsnummern und Anmeldedaten sicher übertragen werden. Ohne eine SSL-Verschlüsselung werden die Daten vom Webserver zum Browser und umgekehrt in Klartext ausgetauscht, so dass Angreifer ein leichtes Spiel haben, die Daten auszuspähen.

Das SSL-Feature ist in allen Smartstore E-Commerce Editionen ab der kostenlosen Community Edition enthalten.

Sicherheitscheckliste für Ihren Smartstore Onlineshop

AKTUALISIEREN SIE RECHTZEITIG
Software-Updates bringen Ihnen nicht nur neue Funktionen, sondern auch Fehlerbehebungen und die Beseitigung oder Beseitigung von Schwachstellen. Aus diesem Grund ist es äußerst wichtig, die aktuell verfügbaren Software-Versionen zu verwenden. Es funktioniert sowohl für Smartstore als auch für die Server-Software.

SICHERN SIE IHREN SMARTSTORE-SHOP REGELMÄßIG
Man kann sich nicht zu 100% vor Hackern schützen, aber es gibt eine gewisse Möglichkeit, sich sicherer zu fühlen: Regelmäßige Backups können Sie vor vielen Problemen bewahren. Speichern Sie regelmäßige Backups, versuchen Sie nicht einmal, sie auf demselben Server wie die Original-Website zu speichern, und stellen Sie Ihre Kopien regelmäßig in einer Sandbox wieder her, um sicherzustellen, dass sie ordnungsgemäß funktionieren. Wenn Sie Ihre Backup-Dateien auf demselben Server wie die ursprüngliche Website haben, ist dies nicht nur unsicher, weil Sie Ihre Kopie brauchen, um sicher zu sein, falls Ihr Server abstürzt, sondern auch, weil ein Hacker, der Zugang zu Ihrem Server erhält, diese in die Hände bekommt.

Technologie Partner: Smartstore Backup as a Service (BaaS)
https://smartstore.com/de/technologie-partner-smartstore-net-backup-as-a-service-baas

VERWENDEN SIE SICHERE PASSWÖRTER FÜR IHREN SMARTSTORE-SHOP
Wussten Sie, dass 123456 das beliebteste Passwort war? Das Administratorkennwort ist der letzte Stand Ihrer Smartstore-Sicherheit. Einfache Passwörter können brutal erzwungen werden. Verwenden Sie daher mehr als 10 Zeichen, einschließlich Groß- und Kleinbuchstaben, sowie Sonderzeichen wie $%! # ^ . Auf diese Weise wird Ihr Passwort nicht gehackt, da es selbst mit modernen Geräten Jahre dauern wird eine Übereinstimmung finden.

VERWENDEN SIE IHR SMARTSTORE-PASSWORT NIRGENDWO ANDERS
Tatsächlich funktioniert dieses Smartstore-Sicherheitsproblem mit allen kennwortgeschützten Daten, die Sie besitzen. Laut passwordresearch.com wählen mehr als 15% der Benutzer identische Passwörter für mehr als einen Dienst. Zu viele Leute wissen nicht, dass die Verwendung identischer Passwörter für mehrere Anmeldungen tatsächlich das Risiko birgt, alle Ihre Konten gleichzeitig zu verlieren. 

SPEICHERN SIE KEINE PASSWÖRTER AUF IHREM COMPUTER
Ein wesentlicher Teil der Trojaner-Software stiehlt gespeicherte Passwörter. Sie müssen mit FTP-Clients und Browsern vorsichtig sein, da Kennwörter über diese Anwendungen häufiger gestohlen werden. Speichern Sie niemals Passwörter mit dieser Software ohne das Hauptpasswort (ein Passwort, das den Rest der Passwörter verschlüsselt und gleichzeitig die Zugangsdaten speichert). Das Ignorieren dieses Hinweises kann zu Datenlecks bei der Anmeldung führen.

ÄNDERN SIE DIE PASSWÖRTER REGELMÄSSIG
Passwörter sollten nicht lebenslang sein. Wir empfehlen, die Passwörter alle 3-6 Monate zu ändern. Selbst wenn Ihre Passwörter durchgesickert sind (und selbst wenn der Hacker sie nicht verwendet hat), werden durch regelmäßige Änderungen die zuvor durchgesickerten Daten unbrauchbar. Stellen Sie sicher, dass die Passwörter auch für alle Personen geändert werden, die die Website nutzen.

VERWENDEN SIE EINE FIREWALL
Richten Sie eine Firewall ein, um den öffentlichen Zugriff auf alles außer auf den Webserver zu verweigern. Wenn Sie keine permanente IP-Adresse haben, um über die Firewall darauf zuzugreifen, verwenden Sie die VPN- oder Port Knocking- Technologie. Sie können auch eine Webanwendungs-Firewall (z. B. Naxsi) installieren, um Ihren Store vor SQL-Injektionen zu schützen. 

SUCHEN SIE IN DEN PROTOKOLLEN NACH FEHLERN ODER VERDÄCHTIGEN AKTIVITÄTEN
Überwachen Sie regelmäßig die Protokolle des Smartstore-Webservers und suchen Sie nach Fehlern oder verdächtigen Aktivitäten. 

VERWENDEN SIE HTTPS / SSL FÜR DAS BACKEND
Wenn Sie einen öffentlichen Hotspot in einem Café oder Einkaufszentrum nutzen, besteht die Gefahr, dass Sie angegriffen werden. Um dies zu vermeiden, verwenden Sie sichere Verbindungen für die Autorisierung. Um SSL nutzen zu können, müssen Sie nicht einmal ein Zertifikat kaufen! Generieren Sie einfach ein selbstsigniertes Zertifikat und machen Sie es in Ihrem Browser zu einem vertrauenswürdigen.

VERGESSEN SIE FTP
Das FTP-Protokoll wurde erstellt, als das Internet ein Neugeborenes war, und Sicherheit war zu dieser Zeit nicht das Problem. Heutzutage ist die Verwendung von FTP höchst unerwünscht, da die Autorisierung mit einfachem Text erfolgt und leicht abgefangen werden kann. Verwenden Sie das SFTP-Protokoll, da es Sie auch von Problemen mit IP-Streaming (NAT) befreit, da nicht jeder über eine öffentliche IP für die Internetnutzung verfügt. Befolgen Sie diese Anleitung, um SFTP für Smartstore zu konfigurieren.

VERWENDEN SIE EINE ANTIVIRENSOFTWARE
Verwenden Sie vertrauenswürdige Antivirensoftware und aktualisieren Sie diese regelmäßig auf die neueste Version, da sie ihren Datenbanken täglich neue Informationen über neue Scumware hinzufügen. Dies erhöht Ihren Datenschutz und schützt Sie vor Malware, die Informationen stiehlt und an Hacker sendet.

BLOCKIEREN SIE UNERWÜNSCHTE LÄNDER
Schützen Sie sich vor Hacker-Angriffen und unnötiger Last auf Ihrem Server. Nutzen Sie dazu z.B. das Smartstore Geo-Blocker Plugin.

Ihr Kommentar