Webwinkels worden steeds vaker aangevallen om data als creditcard-gegevens, of gewoon om lekker de media te halen met het feit dat je een stoere grote shop weet te kraken. Maar hoe zit het eigenlijk met die kleinere maar oh zo vervelende rommel als hidden iframes, open source lekken in Zen-cart, Magento of Wordpress en andere rotzooi?

Heb je er wel eens mee te maken gehad? Wat doe je ertegen, wat kun je het beste doen als je ermee te maken hebt, en hoeveel hiervan breng je naar buiten?

Ben een aantal Zen Carts tegen gekomen waar iets geprobeerd is.

Het 'lek' is tot nu toe steeds terug te voeren op 2 oorzaken:

Oorzaak 1:
Het niet up to date houden van de webshopsoftware of serversoftware.

Oorzaak 2:
Op dezelfde server cq account staat ook nog een CMS waardoor de scriptkiddies binnen komen.

Maar in alle gevallen die ik tegen gekomen ben zijn er geen gegevens vanuit de database gelekt of hebben ze toegang gekregen tot de admin kant.

Van echte datalekken hoop ik dat het leden van dit forum nooit overkomt. Dat je nooit klatendata lekt, nooit content van je site wordt aangepast, etc. Maar de kans dat je waterdicht bent tegen elke vorm van manipulatie via je webshop, is gewoon relatief klein. Webwinkels hebben gemiddeld ruim honderd lekken. Bron: Webwereld. Oei...

Hoe ga je dan om met veiligheid? Heb je een draaiboek waarin staat wanneer je klanten informeert? Is dat pas nadat hun data lekt? Of ook wanneer een mogelijk ongebruikt lek is gevonden? Waarbij open source webwinkeliers waarschijnlijk binnen nu en een jaar allemaal klanten mogen informeren want de kans dat opensource softwaremakers binnen nu en 12 maanden een update uitbrengen die security issues oplost (die waren er dus blijkbaar) is sterk aanwezig.....

Draaiboek?

Met serieuze beveiligingslekken bedoelt White Hat Security gaten waardoor de website niet voldoet aan de beveiligingsstandaard Payment Card Industry Data Security (PCI DSS).

bron: Webwereld

Zen Cart v1.5 voldoet out-of-the-box aan de PCI-DSS standaard en de basis is PA-DSS gecertificeerd. Ook alle plug-ins die via zen-cart.com worden aangeboden ter download voor versie 1.5 voldoen aan de PA-DSS standaard.

(Daarmee is Zen Cart op dit moment de enige Open Source eCommerce software die dat is)

Mooi Zen promoot praatje.

De overheid had ook websites die aan de hoge eisen van de diginotar certificaten voldeden. We weten allemaal hoe dat verhaal is afgelopen.

Niets is veilig, net als het verkeer. Als iemand je wil aanrijden, dan doet hij dat gewoon. Ongeacht hoeveel verkeersborden er worden geplaatst. Je kan wel zeggen in mijn wijk gebeuren geen ongelukken, maar omdat er nu even niks gebeurd wil het nog niet zeggen dat je een veilige wijk hebt.

Is geen promo praatje... je kan het leuk vinden, je kan het niet leuk vinden maar het is zo...

Het klopt, niets is veilig als een echte hacker wil binnenkomen komt hij/zij binnen. Maar scriptkiddies niet.

Maar om even een andere vergelijking te maken, zolang je huis beter beveiligt is als die van de buren grote kans dat een inbreker bij de buren naar binnen gaat.