Wie unter anderem die Magento-Agentur CYBERDAY berichtet, hat Magento hat in einer Mitteilung Online-Händlern dringend geraten, ihr Shopsystem mit einem neuen Security-Patch auf den neuesten Stand zu bringen. Mit dem Patch, der seit dem 7. Juli auf der Magento-Website zum Download bereit steht, werden gleich acht sicherheitsrelevante Lücken der beliebten Shop-Lösung geschlossen.
SUPEE-6285 nennt Magento den Security-Patch, den Online-Händler, die das Shopssystem einsetzen, so schnell wie möglich installieren sollten. Mit dem Patch werden Sicherheitslücken geschlossen, mit denen es unter anderem möglich ist, über die Shop-Software Phishing-Mails zu verschicken, die Daten von Kunden einzusehen und sogar auf fremden Systemen Benutzer mit Administratorrechten anzulegen.
Die Sicherheitslücken betreffen alle Magento-Installationen bis zur Version 1.9.1.1. Die aktuellste Version 1.9.2.0, die Magento zeitgleich mit dem Patch veröffentlicht hat, ist bereits mit dem Sicherheits-Update ausgestattet.
Magento muss mit dem aktuellen Patch schon zum zweiten Mal innerhalb weniger Monate auf kritische Sicherheitslücken in seiner Shop-Software reagieren. Erst im Mai hatte das Unternehmen mit Sicherheits-Updates auf den sogenannten Shoplift-Bug reagieren müssen, durch den es möglich wurde, dass Hacker Kreditkartendaten von Shop-Kunden auslesen.
Viele Händler haben noch nicht einmal den vorangegangen Patch installiert
Bis heute sind nach Ansicht vieler Experten tausende Magento-Shops nicht mit dem nötigen Sicherheits-Update aktualisiert worden und dementsprechend ungeschützt. Die neu aufgedeckten Sicherheitslücken dürften das Problem jetzt sogar noch verstärken. Der Grund, warum so viele Shops so lange ungeschützt bleiben: Nutzer der kostenlosen Magento Community-Edition müssen Sicherheits-Updates manuell installieren. Viele Online-Händler bekommen entsprechende Sicherheits-Warnungen jedoch nicht mit oder unterschätzen deren Bedeutung. Die Folge sind virtuelle offene Scheunentore, die teilweise über Monate bestehen bleiben.
Für Online-Händler, die mit einem Magento-System arbeiten, ist es dringend zu empfehlen, grundsätzlich sicherzustellen, neue Sicherheits-Updates unverzüglich zu installieren. Wer sich nicht selbst um solche Updates kümmern will, sollte seinen Magento-Shop von einer professionellen E-Commerce-Agentur betreuen lassen, die bei solchen Sicherheitslücken proaktiv handelt, sich um die Updates kümmern und die Betreiber informiert.
Ausführliche Informationen zu den aktuellen Sicherheitslücken finden Online-Händler in einem aktuellen Blogbeitrag bei CYBERDAY.