ShopSecurity
      Zurück zur Startseite
      1. Knowledge Base
      2. Managed Center
      3. ShopSecurity

      Bekannte Sicherheitslücken in Modulen

      In Modulen und Erweiterungen befinden sich Sicherheitslücken. Wie kann ich meine Module aktualisieren?

      Moderne Shopsysteme sind vielfach durch Module oder Plugins erweiterbar. Häufig werden selbst gängige Funktionalitäten wie Zahlungsanbieter- oder ERP-Anbindungen über Module realisiert. Module erhalten Updates jedoch in der Regel unabhängig vom Shopsystem selbst. Besonders bei Drittanbietern kann es teilweise zu Verzögerungen bei der Bereitstellung von Updates kommen, weil die Module ggf. an Änderungen beim Shopsystem angepasst werden müssen. Durch die unklaren und unregelmäßigen Update-Zyklen kann es dazu kommen, dass Module längere Zeit in Versionen installiert sind, für welche bekannte Sicherheitslücken existieren. Durch ein angreifbares Modul wird dann auch der gesamte Shop gefährdet.

      Bitte beachten Sie: Wir weisen nur auf bekannte Sicherheitslücken in öffentlich verfügbaren Modulen hin.

      Lösungswege

      Wir empfehlen, die Aktualisierung von Modulen durch erfahrene Magento-Entwickler:innen vornehmen zu lassen. Oft sind besondere Abhängigkeiten zu berücksichtigen (z. B. zum Theme oder zu anderen Modulen). Dies gilt umso mehr, falls individuelle Anpassungen an den Modulfunktionalitäten vorgenommen wurden. Erstellen Sie als Erstes ein Backup von Ihrem Shop und nutzen Sie hierfür Ihre übliche Backup-Methodik. Im Normalfall ist es ausreichend, das Magento-Installationsverzeichnis zu kopieren sowie einen Dump der Shop-Datenbank zu erstellen.

      Manuelle Installation

      Wurde das Modul manuell installiert, befindet sich der Programmcode des Moduls typischerweise im Verzeichnis app/code/local (bzw. app/code bei Magento 2). Updates des Moduls aus einer Archivdatei können dann direkt im Installationsverzeichnis des Shops entpackt werden. Anstatt beim Entpacken bestehende Dateien des Moduls überschreiben zu lassen, empfehlen wir, das vorhandene Verzeichnis des Moduls vorher umzubenennen, damit keine alten Dateien zurückbleiben.

      Installation mit modman

      modman ist ein Werkzeug zur Verwaltung von Magento 1-Modulen und bei Open-Source- und Community-Modulen verbreitet. Wurde das Modul mit modman installiert, ist ein Update ebenfalls mit modman durchführbar.

      modman update <modulname>

      Besondere Installationsmethoden oder composer

      Im Rahmen von größeren Shops kommt häufig ein besonders angepasstes Deployment zum Einsatz, z. B. mit composer (PHP-Paketmanager) oder anderen Tools. In einer solchen Umgebung ist die manuelle Installation eines Updates oft nicht möglich, weil durch erneutes Anstoßen des Deployments das Update ggf. rückgängig gemacht wird. In diesem Fall müssen Updates für Module ebenfalls durch das Deployment erfolgen. Sprechen Sie daher in jedem Fall mit Ihren Entwickler:innen oder Ihrer Agentur.

      Weitere Handlungsempfehlungen

      • Prüfen Sie bitte Ihren Shop auf ordnungsgemäße Funktion, besonders die durch das aktualisierte Modul bereitgestellte Funktionalität.
      • Entfernen Sie danach eventuell umbenannte Verzeichnisse mit dem alten Programmcode (Manuelle Installation) und stellen Sie sicher, dass Backup-Dateien nicht in Verzeichnissen liegen, die über den Webserver erreicht werden können.
      • Falls Sie nach der Aktualisierung auf Schwierigkeiten oder Probleme stoßen, stellen Sie den vorigen Stand aus dem Backup wieder her und wenden Sie sich an Ihre Entwickler:innen oder Ihre Agentur.

       

      Bei Fragen steht Ihnen unser Support telefonisch unter 05251/414130 oder per E-Mail an support@maxcluster.de zur Verfügung.

      Veröffentlicht am 07.03.2024