Ga naar inhoud
Beveiliging

Magento beveiliging

Bescherm je Magento shop tegen hackers, fraude en malware. Praktische tips en extensie aanbevelingen voor maximale beveiliging.

12 essentiële Magento beveiligings tips

Implementeer deze tips om je Magento shop direct veiliger te maken

1

Houd Magento up-to-date

Update Magento, extensies en patches direct als ze beschikbaar zijn. Verouderde versies hebben bekende kwetsbaarheden die hackers uitbuiten.

2

Wijzig de admin URL

De standaard /admin URL is te makkelijk te raden. Wijzig dit naar iets unieks zoals /mijn-geheime-admin-2024 via app/etc/env.php

3

Gebruik sterke wachtwoorden

Minimaal 14 tekens met hoofdletters, cijfers en speciale tekens. Gebruik een password manager en forceer dit voor alle admin gebruikers.

4

Schakel Two-Factor Authentication in

Magento heeft ingebouwde 2FA via Google Authenticator. Zelfs als je wachtwoord gelekt wordt, kunnen hackers niet inloggen.

5

Installeer een SSL certificaat

HTTPS is verplicht voor webshops. Gratis via Let's Encrypt. Forceer HTTPS in Stores → Configuration → Web → Secure.

6

Maak dagelijkse backups

Als je shop gehackt wordt, kun je terugkeren naar een schone versie. Backup database én bestanden. Bewaar backups off-site.

7

Beperk admin toegang per IP

Sta alleen toegang tot /admin toe vanaf vertrouwde IP adressen via .htaccess of firewall regels.

8

Verwijder ongebruikte extensies

Elke extensie is een potentieel veiligheidsrisico. Verwijder alles wat je niet actief gebruikt, niet alleen uitschakelen.

9

Gebruik een Web Application Firewall

Een WAF zoals Cloudflare of Sucuri blokkeert aanvallen voordat ze je server bereiken. Essentieel voor Magento shops.

10

Monitor security logs

Check regelmatig var/log/system.log en exception.log voor verdachte activiteit. Gebruik een monitoring tool voor alerts.

11

Schakel developer mode uit op productie

Developer mode toont gevoelige foutmeldingen. Gebruik altijd production mode: bin/magento deploy:mode:set production

12

Beveilig je database

Gebruik een uniek database wachtwoord, disable remote access, en zorg dat alleen je webserver toegang heeft tot MySQL.

Aanbevolen beveiligings extensies

Deze extensies versterken de beveiliging van je Magento shop

MageSpecialist TwoFactorAuth

Gratis

Two-Factor Authentication voor admin panel. Ondersteunt Google Authenticator, Authy en hardware tokens.

Ingebouwd in Magento 2.4+

Amasty Security Suite

Betaald

Complete beveiligings suite met malware scanning, firewall, brute force protection en activity logs.

~€200/jaar

Mageplaza Security

Betaald

Security scanner, suspicious activity detector, login protection en file permission checker.

~€150/jaar

reCAPTCHA

Gratis

Google reCAPTCHA voor login, contact en registratie formulieren. Voorkomt bot spam en brute force attacks.

Magento Marketplace

Cloudflare

Gratis

Web Application Firewall, DDoS protection en SSL. Gratis plan is voldoende voor meeste webshops.

cloudflare.com

Sucuri Security

Betaald

Malware scanning, firewall, DDoS mitigation en incident response. Enterprise-level beveiliging.

Vanaf €200/jaar

PCI-DSS compliance voor Magento

Verwerk je creditcard betalingen? Dan is PCI-DSS compliance verplicht

PCI-DSS compliance voor Magento

PCI-DSS (Payment Card Industry Data Security Standard) is een set beveiligingseisen voor alle bedrijven die creditcard gegevens verwerken, opslaan of doorgeven. Als je webshop niet compliant is, risiceer je boetes tot €50.000+ en verlies je het recht om creditcards te accepteren.

12 PCI-DSS vereisten:

  1. Installeer en onderhoud een firewall configuratie
  2. Gebruik geen standaard wachtwoorden en security parameters
  3. Bescherm opgeslagen cardholder data
  4. Versleutel transmissie van cardholder data over publieke netwerken
  5. Gebruik en update regelmatig anti-virus software
  6. Ontwikkel en onderhoud veilige systemen en applicaties
  7. Beperk toegang tot cardholder data op need-to-know basis
  8. Ken unieke ID's toe aan iedereen met computer toegang
  9. Beperk fysieke toegang tot cardholder data
  10. Track en monitor alle toegang tot netwerk resources en cardholder data
  11. Test security systemen en processen regelmatig
  12. Onderhoud een information security policy

Makkelijkste oplossing: Gebruik een externe payment gateway

Laat Mollie, Stripe of Adyen de creditcard gegevens verwerken. Dan hoef jij niet PCI-DSS compliant te zijn. De payment gateway redirect klanten naar hun beveiligde pagina, en jij krijgt alleen een betaling bevestiging terug.

Juiste file permissions

Verkeerde permissions zijn een groot veiligheidsrisico

Aanbevolen Magento permissions:

find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
chmod -R 777 var/ pub/media/ pub/static/ generated/
chmod u+x bin/magento

Deze commando's:

  • Directories: 755 (eigenaar kan alles, anderen kunnen lezen en uitvoeren)
  • Bestanden: 644 (eigenaar kan lezen/schrijven, anderen alleen lezen)
  • Cache/media directories: 777 (Magento moet kunnen schrijven)
  • Magento CLI: uitvoerbaar voor eigenaar

Waarschuwing

Nooit 777 permissions op root directory of app/etc/! Dit maakt je shop kwetsbaar. Alleen var/, pub/media/, pub/static/ en generated/ mogen 777 hebben.

Magento security checklist

Print deze checklist en ga alle punten langs

Kies hosting met ingebouwde beveiliging

Sommige Magento hosting providers bieden managed security, malware scanning en automatische patches.

Vergelijk Magento hosting