Magento 1 end of life

OB SIE BEREIT SIND ODER NICHT, HIER SIND WIR: Die letzten Tage mit Magento 1

Nun ist der Moment gekommen: 12 Jahre nach seiner Entstehung hat Magento 1 das Ende seiner Lebensdauer erreicht. Was bedeutet das in der Praxis? Zwei Jahre nach der offiziellen Ankündigung stellt Adobe die Unterstützung dieser Plattform ein und stellt keine Updates mehr zur Verfügung oder behebt Sicherheitsprobleme.

Unmittelbare Folgen

Die Reaktionen der Zahlungsanbieter auf diese Frist sind unterschiedlich. PayPal etwa hat seine Kunden informiert, dass bei der Verwendung von Magento 1 nach dem 30. Juni Transaktionen eventuell falsch verarbeitet werden oder einfach fehlschlagen.

MultiSafepay auf der anderen Seite garantiert die Abwicklung von Zahlungen, die von Magento 1 stammen, vorausgesetzt, spezielle Konzepte für die Kontinuität der Plattformsicherheit werden umgesetzt (insbesondere das Abonnement des Mage-One-Programms, mit dem es eine Partnerschaft eingegangen ist).

Adyen hat vor kurzem eine aktualisierte Version seines Zahlungs-Plugins veröffentlicht. Dieses unterstützt die Verwendung der PayByLink-Methode, die als einzige Methode für die Online-Shops mit Magento 1 akzeptiert wird.

Das wichtigste gemeinsame Argument, das alle Akteure vorbringen, ist, dass eCommerce mit Magento 1 nach dem 30. Juni 2020 nicht mehr den PCI-Richtlinien, insbesondere den Punkten 6.1 und 6.2, entspricht. Diese betreffen die Verpflichtung zur Installation von Sicherheitspatches innerhalb eines Monats nach Freigabe durch den Hersteller.

Durch die Einstellung des Supports für Magento 1 veröffentlicht Adobe keine Sicherheitspatches mehr, wodurch alle Magento-1-Installationen nicht mehr PCI-konform sind. 

So berechtigt es auch sein mag, scheint die Verwendung von PCI-Konformität als Argument ein wenig erzwungen, da es unwahrscheinlich ist, dass sie von allen Magento-Installationen, die derzeit PayPal-Zahlungen implementieren, eingehalten wird.

Es würde bei jeder Plattform - auch bei den modernsten - ausreichen, nicht die neuesten Sicherheitspatches installiert zu haben, um mit den PCI-Anforderungen nicht konform zu sein.

Zu erwähnen ist auch, dass die PCI-Konformität nicht nur die Warenkorb-Software betrifft.

Sie umfasst eine Reihe von Richtlinien, die verschiedene Aspekte einer Anwendung betreffen, je nachdem, ob der Zahlungsprozess intern von der Anwendung verwaltet oder auf eine andere Plattform, wie z.B. PayPal, ausgelagert wird.

Im Selbstbeurteilungs-Fragebogen A (dem etwas freieren) zur PCI-Konformität beziehen sich einige der Anforderungen auf:

  • die Wartung sicherer Netzwerke und Systeme;
  • die Unterstützung eines Programms zum Schwachstellenmanagement (die berüchtigten Punkte 6.1 und 6.2);
  • die Implementierung starker Kontrollmaßnahmen zum Datenzugriff (z.B. wer auf die Server zugreifen darf).

Der Marktanteil von Magento 1 gibt einen echten Einblick zum Ausmaß des Problems, das die Plattform hat. Es wird geschätzt, dass es mehr als 150.000 aktive, auf Magento 1 basierende Online-Shops gibt, von denen viele wahrscheinlich nicht in der Lage sind, rechtzeitig auf eine andere oder aktualisierte Plattform zu migrieren.

Und was ist mit all den Online-Shops, die Magento 2, insbesondere die Versionen 2.0, 2.1 und 2.2, verwenden? Keiner dieser wird seit September 2019 von Adobe mehr unterstützt, aber niemand machte große Ankündigungen oder schien besorgt über die PCI-Konformität.

Es steht außer Frage, dass eine veraltete Anwendung sowohl Händler als auch Kunden enormen Sicherheitsrisiken aussetzt.

Man könnte argumentieren, dass Online-Shops von der PCI-Konformität befreit sind, indem sie Kreditkartenzahlungen nicht direkt auf ihrer Website verwalten, sondern die Transaktion an eine externe Plattform (z.B. die von PayPal gehostete Zahlungsseite) delegieren.

In Wirklichkeit verhält sich eine kompromittierte Plattform auf unerwartete Weise: Sie kann den Kunden beispielsweise auf eine böswillige Checkout-Seite umleiten, wo Kreditkartendaten gestohlen werden können und werden.

Was können Sie also tun? Leider gibt es keine schnellen Lösungen, um diese Probleme zu umgehen: Die Migration auf eine neue Plattform ist unvermeidlich, aber es ist möglich, etwas Zeit zu gewinnen. 

Erhalten Sie umfassende Unterstützung für Ihre aktuelle Plattform

In einem ersten Schritt sollten Sie sicherstellen, dass Ihre Version von Magento 1 weiterhin aktualisiert wird, und dies ist auf zwei Arten möglich: 

  • indem Sie sich auf private Einrichtungen (z.B. mage-one.com) verlassen, die gegen eine monatliche Gebühr die laufende Veröffentlichung von Sicherheitspatches gewähren, während sie aktiv nach Sicherheitslücken in der Plattform suchen; 
  • indem Sie Ihre Magento-1-Plattform auf eine von der Community verwaltete Version migrieren, zum BeispielOpenMage. Es ist zu betonen, dass die Suche nach Bugs und Schwachstellen erheblichen Aufwand an Zeit und Geld erfordert. OpenMage ist quelloffen, d.h. die Nutzung ist völlig kostenlos.

Man sollte sich vor Augen halten, dass beide Lösungen letztendlich zu nicht rückwärtskompatiblen Änderungen im ursprünglich veröffentlichten Magento-Code führen, wodurch einige Erweiterungen nicht mehr funktionieren oder sich unerwartet verhalten könnten. 

Es ist auch denkbar, dass Hersteller von Erweiterungen die Unterstützung ihrer Magento-1-Erweiterungen einstellen, was ein zusätzliches kritisches Problem darstellt, wenn man bedenkt, dass Module von Drittanbietern eigene Schwachstellen haben können und zu den häufigsten Möglichkeiten für Hacker gehören, Webanwendungen zu kapern.

Zusätzliche Sicherheitsmaßnahmen

Ein weiterer wichtiger Schritt ist es, die Kontrolle und Überwachung beteiligter Systeme zu stärken, um anormales Verhalten durch die Aktionen böswilliger Nutzer zu verhindern.

Hier finden Sie einige Beispiele für Prozesse, die implementiert werden sollten:

  • Sichern Sie die Anwendung hinter einer Web Application Firewall (WAF), die böswillige Anfragen blockieren kann. Um nur eine zu nennen: Cloudflare kann nicht nur als CDN (Content Delivery Network) fungieren, sondern bietet auch Web-Sicherheitsfunktionen. ModSecurity kann praktisch sein, wenn Sie eine selbstverwaltete Lösung bevorzugen.
  • Aktivieren Sie ein Integritätskontrollsystem über die Dateien der Anwendung. Viele Angriffe zielen darauf ab, Malware-Dateien in der Zielanwendung zu platzieren, wodurch diese sich auf unerwünschte Weise verhält, obwohl sie weiterhin funktioniert, wie von den Benutzern erwartet.
  • Implementieren Sie aktive Schwachstellenprüfungen: Indem die Anwendung ständig mit einer Datenbank bekannter Schwachstellen abgeglichen wird, können Benutzer böse Überraschungen vermeiden. Dienste wie Acunetix oder Sucuri bieten eine umfassende Reihe von Überprüfungen an.
  • Analysieren Sie den Protokollfluss unserer Anwendung, insbesondere wenn Ihre Anwendung auf mehrere Server verteilt ist. Eine Nadel im Heuhaufen zu finden ist viel einfacher, wenn man die richtigen Werkzeuge zur Hand hat, was es wiederum erleichtert, potenzielle Probleme zu erkennen, sobald sie auftreten. Ein leistungsfähiger Aufbau für diese Aufgabe ist mit einem Elasticsearch/Logstash/Kibana (ELK)-Stack möglich, das jeweils zum Speichern, Abrufen und Visualisieren von Protokollereignissen verwendet wird.

Die Umsetzung der oben genannten Maßnahmen fällt in den Bereich der Kompensationskontrollen (http://pcidsscompliance.net/overview/what-are-compensating-controls/) oder einer Reihe von Verfahren, die zu dokumentieren sind, wenn Sie die Anforderungen der PCI-Konformität nicht vollständig einhalten können.

Es ist zu beachten, dass Kompensationskontrollen keinen Ersatz für die Einhaltung der PCI-Richtlinien darstellen.

Langfristig können sie sich als wesentlich teurer erweisen als Konformitäts-Probleme zu lösen. Sie werden aber dort benötigt, wo die Einhaltung von Vorschriften nicht vernünftig erreicht werden kann.

Zu betonen ist, dass sich die Kompensationskontrollen auf Prozesse beziehen, die in jeder sicheren Umgebung vorhanden sein sollten.

Abschließende Worte

Halten Sie Ihre Software sicher: Es ist immer besser zu agieren, als zu reagieren. 

Früher oder später ist die Migration von Magento 1 unumgänglich und eine neue Plattform wird Vorteile in Bezug auf Sicherheit und Leistung bringen. Darüber hinaus ist es eine ausgezeichnete Gelegenheit, die Funktionen des Online-Shops zu überdenken.

Bedenken Sie auch, dass die Migration von Magento 1 nicht zwingend den Umstieg auf Magento 2 bedeutet. Wir sind der festen Überzeugung, dass jedes Unternehmen zu einer bestimmten Plattform passt: Eines passt vielleicht zu einer SaaS-Lösung, wie Shopify, andere brauchen womöglich die volle Kontrolle über den Quellcode. Shopware 6 könnte ein guter Kandidat sein. 

Wenn Sie immer noch Zweifel haben und unsere Meinung zu Ihrer aktuellen Situation erfahren möchten, dann treten Sie in Kontakt mit uns!

Nützliche Links

Sie haben sich für eine Migration entschieden? Finden Sie heraus, wie eine User Journey Map Ihnen helfen kann

Lesen Sie die Möglichkeiten durch, die Sie bei Ihrer neuen eCommerce-Plattform haben

Stimmen Sie sich ab, mit der PCI-Kurzanleitung 

Entdecken Sie Wazuh, eine leistungsfähige Open-Source-Sicherheitsplattform

FacebookTwitterPinterest

Enzo Perrotta

Senior Full Stack Developer