Beveiliging van je webshop is belangrijk. Daarvoor regel je goede hosting en beveiliging via een SSL-certificaat. Ook is het van belang dat je binnen Magento de juiste mensen de juiste rechten geeft. In Magento Community kan dit al tot op zekere hoogte; Magento Enterprise biedt hier extra functionaliteiten voor.

Binnen Magento is het mogelijk om een aantal beheerders toe te voegen, die elk een specifieke rol en bijbehorende rechten krijgen toegewezen. Deze functie zit zowel in Magento Community als in Magento Enterprise. Magento Enterprise biedt nog een aantal handige extra mogelijkheden om je webshop nog beter te beheren.

Naast een uitgebreider rechtensysteem heeft Magento Enterprise nog andere functies voor een betere beveiliging en controle van het beheerpaneel. In dit artikel worden de functionaliteiten beschreven die Magento Enterprise biedt op het gebied van beveiliging.

Advanced ACL

Wat is ACL?

ACL staat voor Access Control Lists. Hiermee kun je rollen of gebruikers met bepaalde rechten opgeven binnen een systeem. Je kunt bijvoorbeeld de rechten zo instellen dat een gebruiker pagina’s wel mag bewerken, maar niet mag verwijderen.

Hoe werkt ACL in Magento?

Binnen Magento is ACL opgebouwd rondom gebruikers, rollen en rechten. Je geeft een gebruiker eerst een bepaalde rol en bepaalt vervolgens of hij alle of beperkte rechten rechten binnen het systeem heeft.

Een gebruiker kan slechts een rol hebben. Meerdere gebruikers kunnen dezelfde rol hebben, bijvoorbeeld catalogusbeheerders.

Wat is het verschil tussen Magento Enterprise en Magento Community?

Het grote verschil tussen “standaard” ACL binnen Magento Community en Advanced ACL binnen Magento Enterprise is dat je in het laatste geval rechten kunt toewijzen op website- en webshop-niveau. Zoals je waarschijnlijk weet, werkt Magento met drie niveaus op het gebied van webshops: website, webshop, storeview. Je kunt de rechten zo instellen dat een gebruiker wel producten kan bewerken, maar alleen in de geselecteerde store(s).

Schermafbeelding 2014-08-12 om 17.16.14.png

Als je een nieuwe rol aanmaakt, kun je aangeven voor welke webshops de beheerders in deze rol rechten hebben. De rechten die je instelt, gelden meteen voor alle geselecteerde shops. Het is dus niet mogelijk om binnen één rol verschillende rechten per webshop in te stellen, bijvoorbeeld zo dat een beheerder in webshop 1 wel producten en pagina’s mag beheren, maar in webshop 2 alleen pagina’s.

Door de rechten goed in te stellen binnen Magento, kun je het beheer van je webshop gelijkmatig verdelen onder de verschillende mensen en afdelingen binnen je organisatie. Het grote voordeel van Magento Enterprise is dat je deze rechten kunt specificeren op webshop-niveau. Je kunt voor iedere webshop beheerders toevoegen.

Admin Actions Logs

Een andere handige functie van Magento Enterprise heeft alles te maken met controle: de Admin Actions Logs. In deze logs worden alle acties die uitgevoerd worden door beheerders, bijgehouden en gecontroleerd. Je weet precies wie welke actie heeft uitgevoerd en ook wanneer dat is gedaan. Dat zie je bijvoorbeeld aan het ID van het product dat bewerkt is.

Schermafbeelding 2014-08-12 om 17.01.54.png

Naast het rapport bevatten de logs ook een archief. Hierin zitten alle logbestanden in CSV-formaat, wat je een volledig overzicht geeft van de acties die binnen de webshop zijn uitgevoerd. Als beheerder kun je zo over een langere periode nagaan wanneer iets is veranderd in de webshop, wie dat heeft gedaan en wanneer.

Actions Logs configureren

Welke acties wel en niet worden gelogd, is zelf in te stellen via de configuratie. Standaard staat dit zo ingesteld dat alle acties gelogd worden. Voor een optimale controle van gebeurtenissen in de webshop is het aan te raden om de standaard configuratie te handhaven, dus met alle opties geselecteerd. Alleen dan heb je een compleet overzicht.

Schermafbeelding 2014-08-12 om 16.51.38.png

Als beheerder stel je zelf in hoe lang de logs bewaard moeten blijven. Ook kun je instellen hoe vaak de logs moeten worden gearchiveerd.

Beheerders blokkeren

Een andere functie in Magento Enterprise is het blokkeren van beheerders. Als iemand meerdere malen probeert in te loggen maar een foutief wachtwoord invoert, wordt het account geblokkeerd. Er komt dan een melding dat het account is geblokkeerd. Deze persoon kan dan voor een bepaalde tijd niet inloggen met zijn of haar account.

De instellingen voor deze functie kunnen door de beheerder(s) van de webshop zelf worden aangepast. Zo kan worden aangegeven hoe vaak iemand een fout mag maken bij het inloggen en hoe lang een account daarna geblokkeerd is.

Wat de veiligheid vergroot is de mogelijkheid om beheerders na een bepaald aantal dagen een nieuw wachtwoord te laten opgeven. Standaard staat dit ingesteld op 90 dagen. Er zijn twee manieren om hiermee om te gaan: de beheerder kan worden verplicht om een nieuw wachtwoord in te stellen en kan niet meer inloggen totdat het wachtwoord is aangepast, of de beheerder wordt geadviseerd een nieuw wachtwoord te kiezen, maar dat is niet verplicht.

Schermafbeelding 2014-08-12 om 17.19.22.png

Voor een betere beveiliging van je webshop is het aan te raden de eerste optie te kiezen en beheerders na een bepaalde periode te verplichten om een nieuw wachtwoord op te geven. Ook is het verstandig om een account te blokkeren bij het herhaaldelijk invoeren van een verkeerd wachtwoord. Het inloggen in het beheerpaneel van Magento, dus ook een mislukte poging, wordt in de admin actions logs opgeslagen. Zo kun je dus ook zien bij welke accounts het steeds misgaat.

Encryption key

Bij de installatie van zowel Magento Enterprise als Magento Community wordt er een zogenaamde encryption key aangemaakt. Magento gebruikt deze key om wachtwoorden van beheerders en klanten te coderen en credit card-gegevens en gegevens van configuratie-instellingen op te slaan.

Binnen Magento Community kan deze key op een later moment niet zo maar worden aangepast. Wachtwoorden werken dan niet meer en klanten en beheerders kunnen niet meer inloggen.

Binnen Magento Enterprise is hiervoor een extra functionaliteit ingebouwd. In het beheerpaneel van Magento kun je de encryption key aanpassen. Deze functie zorgt ervoor dat direct alle wachtwoorden opnieuw gecodeerd worden. Dit is erg handig op het moment dat kwaadwillenden de encryption key van de webshop hebben achterhaald, want met de key kunnen zij alle gecodeerde gegevens binnen de webshop uitlezen en misbruiken.

Schermafbeelding 2014-08-13 om 08.55.18.png

Magento biedt je de keuze tussen zelf een encryption key invoeren en het systeem een encryption key laten genereren. Als je zelf een encryption key aanmaakt, is het sterk af te raden om deze te kort te maken of een makkelijk te raden tekenreeks te gebruiken. De maximale lengte van de key is 32 tekens. Gebruik ze bij voorkeur allemaal. Dan maak je het anderen zo moeilijk mogelijk om de key te achterhalen.

Conclusie: goede beveiliging en controle

Met Magento kun je je webshop goed beveiligen. Als je, afgezien van de gangbare beveiliging middels een SSL certificaat en goede hosting, goed gebruik maakt van de functies van Magento en het rechtensysteem, kun je ook in de backend een hoop potentiële risico’s afvangen. Met de logs kun je altijd achterhalen wie welke actie(s) heeft uitgevoerd. Hierdoor houd je meer controle over het beheer van de webshop.

De mogelijkheid om de encryption key van Magento aan te passen is een handige functie die de veiligheid enorm vergroot. Je wilt hem liever niet gebruiken, maar als het nodig is, ben je blij dat je hem hebt.

Dit is een artikel uit de reeks “Haal het beste uit uw Magento Enterprise Webwinkel