Smartstore testet regelmäßig den Code der Kernanwendung auf Sicherheitsschwachstellen. Wir arbeiten mit Sicherheitsforschern, Projektbetreuern und Entwicklern zusammen, um zu verhindern, dass neue Sicherheitslücken in Smartstore gelangen.
Patches für Mängel und Sicherheitsprobleme werden den Kunden zeitnah zur Verfügung gestellt. Zur Prüfung und Verifizierung der Konformität werden verschiedene Tools zur Schwachstellenbewertung und externe Anbieter eingesetzt. Die komplette Codebasis wird regelmäßig mit diesen Tools gescannt.
Auch arbeiten wir mit GitHub Security Lab zusammen, um betroffene Repositorien frühzeitig zu identifizieren und Smartstore sicher zu machen. Falls Sie dennoch eine Schwachstelle in Smartstore festgestellt haben, bitten wir Sie, uns unmittelbar zu informieren.
Der wichtigste Grund, weshalb Sie Ihren Online-Shop schützen sollten, ist, dass Sie auch Ihre Kundendaten schützen müssen.
Diese Bordmittel gewährleisten einen sicheren Betrieb Ihres Smartstore Online-Shops
Granulare Rechteverwaltung (ACL) mittels Baumstruktur und Menüsteuerung (Menu Builder) über Kundengruppen
Die Rechteverwaltung (ACL) in Smartstore ermöglicht eine sehr feine Ausweisung von Rechten. Die Zuweisung und Kontrolle von Rechten erfolgt im visuellen Editor in einer Baumstruktur. Differenzierte Rechte erlauben eine sehr präzise personen- und rollenspezifische Vergabe von Rechten über Kunden und Kundengruppen. Über Kundengruppen können z.B. Menüs, Steuerelemente, Seiten, Warengruppen und Produkte gesteuert werden. Über die Rechtverwaltung werden Mitarbeiter nur mit den Rechten ausgestattet, welche sie auch benötigen.
ACL ist hilfreich, um sicherzustellen, dass niemand Änderungen in den Bereichen vornimmt, die nicht in seiner Verantwortung liegen. Mittels ACL können auch externe, automatisierte Zugriffe per Web-API sehr genau gesteuert werden.
Das "ACL" Feature ist eine Eigenentwicklung der Smartstore AG für die Smartstore E-Commerce Software und schon ab der Community Edition enthalten.
Der Smartstore Menu Builder und die CMS-Seiten-Navigation
Der Smartstore Menu Builder ist ein visueller Manager für alle Arten von Menüs. So können eigene CMS-Seiten nahtlos in bestehende Menüs oder einfach in eine neue Menü-Struktur, an beliebiger Stelle, eingebettet werden, ganz ohne eine Zeile zu programmieren. Alle Menü-Einträge, also bestehende System-Menüs und auch selbst erstellte Menü-Einträge, können per Rechteverwaltung eingeschränkt werden. Entdecken Sie das neue Aussehen von Smartstore auf eine neue Art und Weise!
Vorteile:
- Verbesserte Benutzererfahrung durch professionell gestaltetes Menü
- Einfaches Content Marketing durch Einfügen von neuem Content in bestehende Shop-Navigation
- Allgemein bessere Usability
- Inhalte, Teil-Menüs und Menü-Strukturen können zielgruppenorientiert angezeigt werden
Inhalte zielgruppenorientiert über Kundengruppen anzeigen und verbergen
Die Begrenzung auf Kundengruppen ermöglicht es dem Shop-Administrator, den Zugriff auf Produkte, Kategorien, CMS-Seiten und weitere auf der Grundlage von Benutzergruppen einzuschränken. Der Administrator kann für jede Benutzergruppe gewissermaßen einen privaten Bereich erstellen, in dem nur Seiten und Produkte angezeigt werden, die nur dieser Gruppe zugeordnet sind.
Per Kundengruppen können folgenden Elemente eingeschränkt werden:
- Warengruppen
- Produkte
- Rabatte
- Hersteller/Marken
- Seiten
- Menüs bzw. einzelne Menüeinträge
Die Rechteverwaltung über Kundengruppen ist ein sehr leistungsstarkes und dennoch einfach zu verwendendes Feature. Der Shop-Admin hat die Flexibilität, über Einschränkungen von Produkten, Warengruppen, einzelnen CMS-Seiten und Menüs Kundengruppen eigene Bereiche bereitzustellen. So können einem Großkunden nur Produkte in passend großen Gebinden, oder auch direkt eine eigene Seite mit speziellen Produkten nur für diesen Kunden angezeigt werden.
Das "Kundengruppen"-Feature ist eine Eigenentwicklung der Smartstore AG für die Smartstore E-Commerce Software und schon ab der Community Edition enthalten.
Verschlüsselung sensibler Daten per privatem Schlüssel
Bei der Verschlüsselung durch einen „private Key“ handelt es sich um ein Verschlüsselungsverfahren, bei dem sensible Daten mithilfe eines Schlüssels, hier eine Zahlenreihe, verschlüsselt und entschlüsselt werden. Smartstore nutzt dieses sehr sichere Verfahren bei sensiblen Daten wie Kennwörtern, Kreditkarten- und Bank-Daten. „Private“ bedeutet, dass der Schlüssel auf gar keinen Fall weitergegeben oder veröffentlicht werden darf.
reCAPTCHA auf allen Interaktionsseiten
Google reCAPTCHA schützt Ihre Website vor Betrug und Missbrauch
Google reCAPTCHA verwendet eine fortschrittliche Risikoanalyse-Engine und adaptive Herausforderungen, um zu verhindern, dass bösartige Software missbräuchliche Aktivitäten auf Ihrer Website ausführt. In der Zwischenzeit können sich legitime Benutzer anmelden, Einkäufe tätigen, Seiten anzeigen oder Konten erstellen, und gefälschte Benutzer werden blockiert.
Der reCAPTCHA-Vorteil
- Bewährt: reCAPTCHA ist seit über einem Jahrzehnt führend in der Bot-Minderung
- Kundenfreundlich: Ein reibungsloser Betrugserkennungsdienst, der Bots und andere automatisierte Angriffe stoppt und gleichzeitig gültige Benutzer genehmigt
- Adaptiv: Die risikobasierten Bot-Algorithmen von reCAPTCHA wenden kontinuierliches maschinelles Lernen an, das jede Kunden- und Bot-Interaktion berücksichtigt, um die binäre heuristische Logik traditioneller herausforderungsbasierter Bot-Erkennungstechnologien zu überwinden
Weitere Anwendungsfälle
- Scraping: Diebstahl von Inhalten zur Umleitung von Werbeeinnahmen oder zur Verwendung im Wettbewerb
- Betrügerische Transaktionen: Kauf von Waren oder Geschenkkarten mit gestohlenen Kreditkarten
- Kontoübernahmen (ATO): Ausfüllen von Anmeldeinformationen zur Validierung gestohlener Konten
- Synthetische Konten: Erstellung neuer Konten für Werbewert oder zukünftigen Missbrauch
- Falsche Beiträge: Veröffentlichung von böswilligen Links oder Verbreitung von Fehlinformationen
- Geldwäsche: Bot generierte Ad-Click-Einnahmen auf betrügerischen Websites
Geo-Blocker
Cyperangriffe nehmen deutlich zu. DoS- oder DDos-Attacken sind eine Gefahr für den E-Commerce. Immer mehr Onlineshops werden so zeitweise lahmgelegt. Auch werden gerne Fake-Kundenkonten angelegt, um z.B. in Bewertungen Spam unterzubringen. Viel gefährlicher sind aber direkte Hacker-Angriffe von hunderten oder tausenden Bots gleichzeitig. Der Geo-Blocker schützt Ihren Smartstore Onlineshop vor diesen gefahren.
Funktionsübersicht
- Die Smartstore Geo-Lock-Technologie erkennt den genauen Standort der Besucher
- Zugriffsbeschränkung aufgrund Geo-Location und/oder IP-Adressen
- Definition von IP-Adressen mit Wertebereichen
- Ausnahmeregel für registrierte Kunden
Das Smartstore "Geo-Blocker" Plugin ist eine Eigenentwicklung der Smartstore AG für die Smartstore E-Commerce Software und in der Smartstore Premium Flat enthalten, darüber hinaus ist das Plugin über den Smartstore Marketplace käuflich zu erwerben.
SSL-Unterstützung
SSL bzw. TLS ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Die Verschlüsselung wird durch Zertifikate bzw. sogenannte Schlüssel realisiert. Eine SSL-Verschlüsselung stellt sicher, dass vertrauliche Informationen wie Kreditkartennummern, Sozialversicherungsnummern und Anmeldedaten sicher übertragen werden. Ohne eine SSL-Verschlüsselung werden die Daten vom Webserver zum Browser und umgekehrt in Klartext ausgetauscht, so dass Angreifer ein leichtes Spiel haben, die Daten auszuspähen.
Das SSL-Feature ist in allen Smartstore E-Commerce Editionen ab der kostenlosen Community Edition enthalten.
Sicherheitscheckliste für Ihren Smartstore Onlineshop
AKTUALISIEREN SIE RECHTZEITIG
Software-Updates bringen Ihnen nicht nur neue Funktionen,
sondern auch Fehlerbehebungen und die Beseitigung oder Beseitigung von Schwachstellen. Aus diesem Grund ist es äußerst wichtig, die
aktuell verfügbaren Software-Versionen zu verwenden. Es funktioniert sowohl für Smartstore als auch für die Server-Software.
SICHERN SIE IHREN SMARTSTORE-SHOP REGELMÄßIG
Man kann sich nicht zu 100% vor Hackern
schützen, aber es gibt eine gewisse Möglichkeit, sich sicherer zu fühlen: Regelmäßige Backups können Sie vor vielen Problemen bewahren.
Speichern Sie regelmäßige Backups, versuchen Sie nicht einmal, sie auf demselben Server wie die Original-Website zu speichern, und stellen
Sie Ihre Kopien regelmäßig in einer Sandbox wieder her, um sicherzustellen, dass sie ordnungsgemäß funktionieren. Wenn Sie Ihre
Backup-Dateien auf demselben Server wie die ursprüngliche Website haben, ist dies nicht nur unsicher, weil Sie Ihre Kopie brauchen, um
sicher zu sein, falls Ihr Server abstürzt, sondern auch, weil ein Hacker, der Zugang zu Ihrem Server erhält, diese in die Hände bekommt.
Technologie Partner: Smartstore Backup as a Service (BaaS)
https://smartstore.com/de/technologie-partner-smartstore-net-backup-as-a-service-baas
VERWENDEN SIE SICHERE PASSWÖRTER FÜR IHREN SMARTSTORE-SHOP
Wussten Sie, dass 123456 das
beliebteste Passwort war? Das Administratorkennwort ist der letzte Stand Ihrer Smartstore-Sicherheit. Einfache Passwörter können brutal
erzwungen werden. Verwenden Sie daher mehr als 10 Zeichen, einschließlich Groß- und Kleinbuchstaben, sowie Sonderzeichen wie $%! # ^ . Auf
diese Weise wird Ihr Passwort nicht gehackt, da es selbst mit modernen Geräten Jahre dauern wird eine Übereinstimmung finden.
VERWENDEN SIE IHR SMARTSTORE-PASSWORT NIRGENDWO ANDERS
Tatsächlich funktioniert
dieses Smartstore-Sicherheitsproblem mit allen kennwortgeschützten Daten, die Sie besitzen. Laut passwordresearch.com wählen mehr als 15%
der Benutzer identische Passwörter für mehr als einen Dienst. Zu viele Leute wissen nicht, dass die Verwendung identischer Passwörter für
mehrere Anmeldungen tatsächlich das Risiko birgt, alle Ihre Konten gleichzeitig zu verlieren.
SPEICHERN SIE KEINE PASSWÖRTER AUF IHREM COMPUTER
Ein wesentlicher Teil der
Trojaner-Software stiehlt gespeicherte Passwörter. Sie müssen mit FTP-Clients und Browsern vorsichtig sein, da Kennwörter über diese
Anwendungen häufiger gestohlen werden. Speichern Sie niemals Passwörter mit dieser Software ohne das Hauptpasswort (ein Passwort, das den
Rest der Passwörter verschlüsselt und gleichzeitig die Zugangsdaten speichert). Das Ignorieren dieses Hinweises kann zu Datenlecks bei der
Anmeldung führen.
ÄNDERN SIE DIE PASSWÖRTER REGELMÄSSIG
Passwörter sollten nicht lebenslang sein. Wir
empfehlen, die Passwörter alle 3-6 Monate zu ändern. Selbst wenn Ihre Passwörter durchgesickert sind (und selbst wenn der Hacker sie nicht
verwendet hat), werden durch regelmäßige Änderungen die zuvor durchgesickerten Daten unbrauchbar. Stellen Sie sicher, dass die Passwörter
auch für alle Personen geändert werden, die die Website nutzen.
VERWENDEN SIE EINE FIREWALL
Richten Sie eine Firewall ein, um den öffentlichen Zugriff
auf alles außer auf den Webserver zu verweigern. Wenn Sie keine permanente IP-Adresse haben, um über die Firewall darauf zuzugreifen,
verwenden Sie die VPN- oder Port Knocking- Technologie. Sie können auch eine Webanwendungs-Firewall (z. B. Naxsi) installieren, um Ihren
Store vor SQL-Injektionen zu schützen.
SUCHEN SIE IN DEN PROTOKOLLEN NACH FEHLERN ODER VERDÄCHTIGEN AKTIVITÄTEN
Überwachen Sie
regelmäßig die Protokolle des Smartstore-Webservers und suchen Sie nach Fehlern oder verdächtigen Aktivitäten.
VERWENDEN SIE HTTPS / SSL FÜR DAS BACKEND
Wenn Sie einen öffentlichen Hotspot in einem
Café oder Einkaufszentrum nutzen, besteht die Gefahr, dass Sie angegriffen werden. Um dies zu vermeiden, verwenden Sie sichere
Verbindungen für die Autorisierung. Um SSL nutzen zu können, müssen Sie nicht einmal ein Zertifikat kaufen! Generieren Sie einfach ein
selbstsigniertes Zertifikat und machen Sie es in Ihrem Browser zu einem vertrauenswürdigen.
VERGESSEN SIE FTP
Das FTP-Protokoll wurde erstellt, als das Internet ein Neugeborenes
war, und Sicherheit war zu dieser Zeit nicht das Problem. Heutzutage ist die Verwendung von FTP höchst unerwünscht, da die Autorisierung
mit einfachem Text erfolgt und leicht abgefangen werden kann. Verwenden Sie das SFTP-Protokoll, da es Sie auch von Problemen mit
IP-Streaming (NAT) befreit, da nicht jeder über eine öffentliche IP für die Internetnutzung verfügt. Befolgen Sie diese Anleitung, um SFTP
für Smartstore zu konfigurieren.
VERWENDEN SIE EINE ANTIVIRENSOFTWARE
Verwenden Sie vertrauenswürdige
Antivirensoftware und aktualisieren Sie diese regelmäßig auf die neueste Version, da sie ihren Datenbanken täglich neue Informationen über
neue Scumware hinzufügen. Dies erhöht Ihren Datenschutz und schützt Sie vor Malware, die Informationen stiehlt und an Hacker sendet.
BLOCKIEREN SIE UNERWÜNSCHTE LÄNDER
Schützen Sie sich vor Hacker-Angriffen und unnötiger
Last auf Ihrem Server. Nutzen Sie dazu z.B. das Smartstore Geo-Blocker Plugin.