Meny

Lukk

Hvorfor kommer Magento med sikkerhetsoppdateringer?

Nettbutikken vår konverterer godt, har aldri vært utsatt for sikkerhetstrusler, og vi har andre ting ved butikken vår vi heller har lyst til å utbedre enn å bruke tid på en sikkerhetsoppdatering. Hvorfor skal vi installere en sikkerhetsoppdatering nå, når denne uansett vil bli installert sammen med neste oppdatering av Magento-plattformen? Har du stilt dette spørsmålet, eller noen gang lurt på hvorfor de som forvalter din Magento nettbutikk insisterer på å kontinuerlig installere nye sikkerhetspatcher, da bør du lese videre.

Så fort Magento oppdager svakheter som kan utnyttes i systemet sitt, slipper de en sikkerhetspatch. Denne patchen, eller oppdateringen, adresserer en svakhet Magento fant viktig nok til å ville fikse med en gang, heller enn å vente med å fikse den til de slipper en total oppgradering av systemet.

En oppgradering av systemet endrer den installerte programvaren til en nyere versjon, gjerne med mer og oppdatert funksjonalitet - så hvorfor ikke bare vente med sikkerhetsoppdateringene til den nyeste versjonen av programvaren tilgjengeliggjøres slik at man kan gjøre alt på en gang? Å oppgradere programvaren kan være en stor prosess som kan ta tid. I tillegg kan det ha uforutsette komplikasjoner ettersom det må testes opp imot alle de forskjellige modulene, integrasjonene, og skreddersømmen man har tilknyttet Magento, for å passe på at oppgraderingen er kompatibel.

En Magento sikkerhetspatch og en Magento systemoppgradering er altså to forskjellige ting - førstnevnte utbedrer en svakhet ved systemet og tetter et mulig sikkerhetshull, sistnevnte bundler sikkerhetspatchene sammen med ny funksjonalitet Magento har valgt å utvikle. Sikkerhetspatcher slippes derfor hyppigere enn oppgraderinger av systemet, tar kortere tid å installere, og har mindre variasjon hva angår innhold.

Hvorfor er de så viktige?

 

Tusenvis av Magento nettbutikker angret i et felles globalt hackerangrep i 2015

Alle ehandelsplattformer, og ikke minst Magento som er en av verdens ledende ehandelsplattformer, er attraktive mål for hackere. For å gjennomføre et salg er en nettbutikk avhengig av både person- og betalingsinformasjon, og det er akkurat denne informasjonen det er så viktig å beskytte og som kan være utsatt for angrep og svindel.

Kunder kan i verste fall få frastjålet både penger og sin identitet, mens selve nettbutikken kan lide økonomiske tap pga. tapte inntekter, svindel, eventuelle erstatningskrav, og ikke minst stå i fare for å tape fremtidige salg som følge av et dårligere renommé og en svekket merkevare.

Magento har allerede mange innebygde sikkerhetsfunksjoner, men det er alltid anbefalt å installere de nyeste sikkerhetspatchene, nettopp fordi Magento fant det viktig nok å slippe denne patchen. Selv om du ikke føler at nettbutikken din er spesielt utsatt er dette likevel ekstremt viktig, både for egen del og for å beskytte dine kunders personvern og for å holde på deres lojalitet og tillit.

Det riktige angrepet kan sette muligheten din til å gjennomføre ehandelstransaksjoner totalt ute av spill. Ikke bare kan siden din ødelegges av uautorisert tilgang, men også gjøre kundedata synlig. Å rydde opp etter et angrep dersom nettbutikken din skulle bli utsatt er en mye større og mer kostbar prosess enn det ville ha vært å installere sikkerhetsoppdateringen som i utgangspunktet kunne ha motvirket dette angrepet.

Andelen utdaterte Magento nettbutikker

Bilde: I 2015 ble over 8000 Magento nettsteder hacket i et massivt globalt angrep, en rapport gjennomført i etterkant viste at hele 97% av Magento nettsidene som ble angrepet var utdaterte på tidspunktet de ble angrepet. Dette bør understreke viktigheten av disse sikkerhetstiltakene.

Enhver suksessrik ehandelsbedrift burde verdsette sikkerhet. Å være proaktiv med sikkerhetsoppdateringer beskytter dine kunders personinformasjon og er like mye en investering i bedriftens merkevare. Konsekvensene av at uautoriserte programmer eller personer får tilgang til siden din utsetter ikke bare kundene dine for fare, det kan også ødelegge merkevaren din, og kan både kortsiktig og langsiktig føre til store økonomiske tap.

Magento 1 vs Magento 2 - hva er forskjellen, og bør jeg oppgradere fra Magento 1?

Tenker man langsiktig, kan man forsikre nettsidens stabilitet ved å oppgradere til Magento 2; Magento 1 kommer på et tidspunkt til å bli utdatert. Dette vil skje innen et par år, på bakgrunn av mangel på offisiell support; det er allerede et par år siden det ble utviklet ny funksjonalitet for M1 og sikkerhetspatcher vil ikke lenger utvikles av Magento.

Jason Woosley, SVP for Product & Technology hos Magento Commerce har uttalt seg i både blogginnlegg og på Twitter at offisiell support for Magento 1, som i utgangspunktet skulle opphøre i november 2018, vil fortsette i ytterligere 18 måneder. Han har imidlertid også anbefalt nettbutikkeiere å gå over til Magento 2 på grunn av dette.

Det faktumet at Magento vil avslutte support for sine Magento 1-versjoner gjør Magento 2-plattformen til det riktige valget for dem som ønsker å starte ny nettbutikk.

Ettersom Magento kommer til å avslutte støtten for Magento 1.x versjoner, vil det sannsynligvis være en økning i antall av ondartet programvare som utnytter svakheter som blir avdekket etter slipp av de aller siste sikkerhetspatchene til Magento 1.

Din nettbutikkforvalter og deres utviklere kan lage sikkerhetspatcher spesielt til din butikk, men dette betyr ekstra utviklingskostnader og mye ekstra arbeid. Samtidig som dette er en stor kostnad kan du aldri være helt sikker på at det ikke vil være nye sikkerhetshull som blir oppdaget senere.

Tenker du langsiktig burde stabilitet og sikkerhet være et viktig aspekt, et aspekt som definitivt gjør Magento 2 til det rette valget dersom din butikk kjører på Magento 1, eller du planlegger å lansere ny butikk.

Convert og våre anbefalinger

Convert anbefaler alltid å være føre var med sikkerheten; dette er noe som definitivt kan spare kostnader i det lange løp. Installering av nye sikkerhetspatcher er noe vi tar initiativ til på vegne av alle våre kunder, og vi gjør dette til en svært redusert timepris nettopp fordi vi vet at dette kan være en kjedelig, men dog høyst nødvendig utgift. Vi tar det som en selvfølge at de nettbutikkene vi leverer skal følge anbefalt sikkerhetsstandard, og kommer alltid til å ta sikkerhetsanbefalinger og -oppdateringer fra Magento på alvor.

Der det er mulig bruker vi i ConvertCare verktøyet Magento Security Scan. Dette verktøyet stiller vi inn til å overvåke nettbutikkens sikkerhet på ukentlig basis, og gir oss straks beskjed dersom sidens sikkerhet skulle være kompromittert, eller det er sluppet en ny sikkerhetspatch. Vi passer på å installere sikkerhetspatcher så fort som mulig etter de er tilgjengeliggjort.

Ønsker du å opprette en ny nettbutikk anbefaler vi, som Magento også gjør, at dere benytter dere av Magento 2. Ikke bare har vi i Convert utviklet fantastiske løsninger her, dette er også det beste valget dere kan gjøre om dere tenker på sikkerhet - og det burde dere!

Om du har en velfungerende eCommerce butikk som kjører på en av de siste versjonene av Magento 1 som genererer inntekt, burde du vurdere å oppgradere til Magento 2 innen de neste ett eller to årene. Dette vil være et større prosjekt å gjennomføre og alle Magento partnere som vet hva de driver med har mer enn nok arbeid i pipeline´n fremover og derfor bør du være tidlig ute og få reservert din plass i køen. Dersom butikken din kjører en utdatert Magento 1 versjon bør du definitivt fortsette utvikling i Magento 2. Uavhengig av versjon om du er på Magento 1, kommer du til å trenge mye utvikling, så om budsjettet tillater det bør du oppgradere til Magento 2 så fort det lar seg gjøre - dette vil være nødvendig i det lange løp uansett.

Vi i Convert ønsker å lage Norges, kanskje verdens beste nettbutikker - og med å tilse at sikkerheten er på plass passer vi på at de også forblir Norges, kanskje verdens beste nettbutikker.