Home Services Over ons Kennisbank Contact FAQ
Security · 7 min lezen

Magento webshop gehackt: wat u nu moet doen

Een gehackte Magento-webshop is beheersbaar als u kalm en gestructureerd handelt. Deze gids helpt u de signalen te herkennen, verstandige eerste stappen te nemen en uw winkel veilig en volgens de wet te herstellen.

Herken de signalen op tijd

Veel inbraken blijven weken onopgemerkt omdat de winkel gewoon lijkt te draaien. De schade ontstaat juist in stilte, dus let op subtiele afwijkingen in gedrag en administratie.

Bij Magento zijn de meest voorkomende aanvallen kaartdiefstal via injectiescripts in de checkout (skimmers, ook wel Magecart genoemd), misbruik van uw server als doorgeefluik voor spam, en ongeautoriseerde toegang tot het beheerderspaneel.

  • Onbekende beheerdersaccounts of admin-logins vanaf vreemde locaties of tijdstippen.
  • Klachten van klanten over onterechte afschrijvingen na een bestelling.
  • Onverklaarbaar hoog uitgaand mailverkeer of plotselinge blacklisting van uw domein.
  • Vreemde of recent gewijzigde bestanden, extra JavaScript in de checkout, of onbekende geplande taken (cron).
  • Waarschuwingen van uw betaalprovider, hostingpartij, bank of een securitymelding.

De eerste uren: kalm en zorgvuldig

De grootste fout in de eerste uren is paniekerig alles verwijderen. Weggegooide logbestanden en overschreven code maken het onmogelijk om de bron te vinden, waardoor de aanvaller na uw 'herstel' gewoon terugkeert.

Neem eerst de situatie op en bewaar bewijs. Maak een volledige back-up van de huidige (besmette) staat van bestanden en database voordat u iets wijzigt, en documenteer wat u ziet met tijdstippen.

  • Zet de winkel indien nodig tijdelijk in onderhoudsmodus in plaats van hem hard te slopen.
  • Wijzig alle wachtwoorden: Magento-admin, database, SSH/FTP, hosting en e-mail.
  • Roteer API-sleutels, betaal- en integratietokens en de Magento-encryptiesleutel waar mogelijk.
  • Trek actieve admin-sessies in en schakel onbekende beheerdersaccounts uit.
  • Informeer uw hosting- en betaalprovider; zij kunnen misbruik helpen stoppen.

Vind het toegangspunt

Opruimen zonder de oorzaak te kennen is dweilen met de kraan open. Reserveer daarom tijd om vast te stellen hoe de aanvaller binnenkwam voordat u de winkel weer openzet.

Bij Magento-winkels ligt de oorzaak vaak bij achterstallige security-patches, een kwetsbare of verouderde extensie, of een upload-lek waarmee kwaadaardige bestanden op de server zijn geplaatst (een bekende route naar code-uitvoering op afstand).

Vergelijk uw bestanden met een schone versie van dezelfde Magento- en modulereleases, controleer de toegangs- en foutlogs rond het eerste vreemde gedrag, en let op recent aangemaakte of gewijzigde bestanden buiten een deploy om.

Opschonen en dichttimmeren

Herstel bij voorkeur vanuit een aantoonbaar schone back-up van vóór de inbraak, gecombineerd met verse core- en modulebestanden uit uw versiebeheer. Zet nooit klakkeloos een back-up terug waarvan u de infectiedatum niet kent.

Verwijder geïnjecteerde scripts, achtergelaten webshells en ongeautoriseerde accounts en taken. Installeer daarna alle openstaande Magento-securitypatches en werk kwetsbare extensies bij of verwijder ze.

  • Voer daarna opnieuw een volledige scan uit om zeker te zijn dat niets terugkeert.
  • Beperk schrijf- en uitvoerrechten in mediamappen en scherp de serverconfiguratie aan.
  • Herstel pas de betaalfunctie en open de winkel als de checkout aantoonbaar schoon is.

De AVG-meldplicht in de EU

Als bij de inbraak persoonsgegevens of kaartgegevens zijn gelekt, is dit een datalek onder de AVG en heeft u een wettelijke meldplicht. Behandel dit als een verplichting, niet als een keuze.

In de meeste EU-lidstaten meldt u een meldingsplichtig lek binnen 72 uur bij uw toezichthouder (in Nederland de Autoriteit Persoonsgegevens). Zijn betrokkenen waarschijnlijk aan hoog risico blootgesteld, dan informeert u ook hen. Leg de aard van het lek, de betrokken gegevens en uw maatregelen zorgvuldig vast; een securitypartner kan hierin adviseren, maar de eindverantwoordelijkheid blijft bij u als verwerkingsverantwoordelijke.

Uw Magento-winkel snel en veilig herstellen

D-Labs IT helpt u de bron te vinden, de winkel schoon op te leveren en gepatcht en gehard weer live te zetten, met reactietijd doorgaans binnen twee werkuren.