Is mijn webwinkel veilig?

05/16/2018 Industry news Created by Wouter S. van Dongen, Sr. Beveiligingsonderzoeker DongIT

Het gebruik van webwinkelsoftware brengt beveiligingsrisico’s met zich mee. Risico’s zitten zowel in het gebruik van kant-en-klare webwinkelsoftware als in custom software. Om risico’s te beperken is het aan te raden om een keer een penetratietest of securityscan uit te laten voeren. Dergelijke testen bieden vaak veel inzicht in de aanwezige IT-beveiligingsrisico’s van een webwinkel en geven richtlijnen voor verbetering van de beveiliging.

Wat is webwinkelsoftware?

De webwinkelsoftware is de basis voor een webwinkel. Via de software kunnen klanten de webwinkel bekijken en bestellingen plaatsen en kunnen medewerkers de orders afhandelen. De meeste webwinkels zijn gebouwd op basis van kant-en-klare webwinkelsoftware, zoals Magento, PrestaShop, Lightspeed, Shopify en WordPress. Daarnaast worden andere webwinkels juist ontwikkeld op basis van custom software. Beide ontwikkelopties hebben voor- en nadelen welke invloed hebben op de veiligheid, kosten en mogelijkheden.

Kant-en-klare webwinkelsoftware

Het voordeel van kant-en-klare webwinkelsoftware is dat hiermee een makkelijk onderhoudbaar systeem kan opgezet worden. Dergelijke software bespaart een ontwikkelaar onnodig veel programmeerwerk en voor de opdrachtgever scheelt dit geld. De ontwikkelaar hoeft immers niet het wiel opnieuw uit te vinden voor alle webwinkelfunctionaliteiten en het afhandelproces. Omdat de ontwikkeling volgens een bepaalde structuur en regels van de betreffende webwinkelsoftware dient te verlopen, is de bestaande code ook voor een andere ontwikkelaar, die bekend is met de software, eenvoudig te lezen en uit te breiden. Het correct toepassen van kant-en-klare code door een ontwikkelaar bevordert niet alleen de onderhoudbaarheid, maar ook de kwaliteit van het systeem. Tevens verkleint het de kans op (programmeer)fouten omdat er minder eigen geschreven code nodig is. Dit komt ten goede aan de veiligheid en kosten.

Maar aan het het gebruik van kant-en-klare webwinkelsoftware zitten ook valkuilen en nadelen, wat ten koste kan gaan van de veiligheid. Om het systeem veilig te houden, is het van belang om tijdig en continu alle onderdelen up te daten, zoals: de software op de server, het gebruikte raamwerk (de core), maar ook de losse plugins en modules. Dit kost continu de nodige moeite. Het succes van veelgebruikte webwinkelsoftware zoals bijvoorbeeld Magento, is ook een risico op zichzelf. Bij een kwetsbaarheid in Magento, kunnen hackers met een enkel script vele websites hacken.

Daarnaast zijn veel ontwikkelaars niet opgewassen tegen de steile leercurve die nodig is voor verschillende ontwikkelsoftware, of zijn ze niet bereid te investeren in het correct gebruik hiervan. Dit heeft tot gevolg dat veel ontwikkelaars even “snel” iets buiten de handvatten en regels van de webwinkelsoftware om “knutselen” om iets werkend te krijgen, wat op den duur veelal leidt tot verouderde en kwetsbare code. Voor de opdrachtgever is het meestal niet duidelijk hoe het product er onder de motorkap uitziet, en deze is meestal slechts gefocust op een goede werking ervan.

Custom webwinkelsoftware

Met het gebruik van custom software kan een webwinkel volledig op maat afgestemd worden op de eisen en wensen van de opdrachtgever, zonder de beperkingen die kant-en-klare webwinkelsoftware heeft. Alle functionaliteiten moeten echter vanaf de grond af aan ontwikkeld worden, wat veel tijd en geld kost. Daarnaast leidt dit vaak tot een slechtere opzet en meer fouten.

Een van de redenen dat ontwikkelaars kiezen om met custom software te werken, is vanwege de steile leercurve van kant-en-klare ontwikkelsoftware. Vanwege de complexiteit wordt er dan gekozen voor eigen software of plugins, waarmee ze bekend zijn. Dit leidt ertoe dat ze het wiel opnieuw moeten uitvinden om alle functionaliteiten te ontwikkelen, waar de opdrachtgever uiteindelijk voor betaald.

Als beveiligingsonderzoeker (en ethisch hacker) heb ik honderden systemen getest voor grote- en kleine organisaties. Hierbij valt op dat websites die zijn ontwikkeld op basis van custom software veel meer kwetsbaarheden en beveiligingsrisico’s bevatten ten opzichte van kant-en-klare (open-source) webwinkelsoftware. Omdat alles maatwerk bevat, is de kwaliteit van de code en onderhoudbaarheid van het systeem volledig afhankelijk van het kennisniveau en werkwijze van de ontwikkelaars.

Is mijn webwinkel veilig?

Bij zowel kant-en-klare als custom webwinkelsoftware zijn er voor- en nadelen en zo heeft elke ontwikkelaar een eigen voorkeur voor het gebruik van een bepaalde software. De beveiliging is bij beide opties erg afhankelijk van de kennis, kunde en werkwijze van de ontwikkelaar.

Het is verstandig voor een organisatie, ongeacht de omvang, om eens een onafhankelijke beveiligingstest uit te laten voeren. Zo wordt met een frisse blik gekeken naar beveiliging van de webwinkel, wat nieuwe inzichten en andere invalshoeken met zich meebrengt. Veel mensen denken dat dit dure trajecten zijn. Het is echter al mogelijk om binnen een paar uur een goed beeld van de webwinkelbeveiliging te krijgen.

Check hier de website van DongIT en de Web Security Scan