Magento 2 beveiligingsaudit: 15 te controleren punten in 2026
Waarom een beveiligingsaudit essentieel is
In 2026 zijn aanvallen op e-commercewebsites geavanceerder dan ooit. Adobe Commerce/Magento 2 blijft een favoriet doelwit van hackers vanwege zijn populariteit en de gevoelige gegevens die het verwerkt.
Een regelmatige beveiligingsaudit is geen optie — het is een noodzaak. Hier zijn de 15 punten die u zonder mankeren moet controleren.
1. Versies en beveiligingspatches
Zorg ervoor dat uw Magento 2-instantie de nieuwste beschikbare versie gebruikt. Adobe publiceert regelmatig beveiligingspatches:
- Raadpleeg de Adobe-beveiligingsbulletin
- Pas patches binnen 48 uur na release toe
- Automatiseer updates met Composer
2. Configuratie van beheerdertoegang
- Schakel twee-factorauthenticatie (2FA) in
- Gebruik sterke wachtwoorden en een wachtwoordmanager
- Beperk het aantal inlogpogingen
- Wijzig de standaard beheerder-URL
3. Bestands- en maprechten
Onjuiste rechten zijn een open deur voor aanvallers:
- Bestanden: 644
- Mappen: 755
- app/etc/env.php mag nooit openbaar toegankelijk zijn
4. Databasebeveiliging
- Wijzig het standaard tabelprefix
- Gebruik sterke wachtwoorden voor SQL-toegang
- Beperk geautoriseerde IP's voor databaseverbindingen
5. Redis- en Varnish-configuratie
- Authenticeer Redis-toegang
- Beperk geautoriseerde IP's voor Varnish
- Gebruik TLS voor cache-verbindingen
6. Bescherming tegen XSS- en CSRF-aanvallen
Magento 2 bevat native beveiliging, maar controleer:
- Dat XSS-validators actief zijn
- Dat CSRF-tokens worden gegenereerd voor alle formulieren
- Dat uw aangepaste modules deze mechanismen respecteren
7. Betalingsbeveiliging
- Controleer of uw betalingsmodules PCI DSS gebruiken
- Schakel 3D Secure (SCA) in voor kaartbetalingen
- Sla nooit creditcardgegevens op uw server op
8. Web-API en GraphQL
API's zijn veelvoorkomende aanvalsvectoren:
- Beperk API-toegang per integratiesleutel
- Schakel rate limiting in
- Valideer alle GraphQL-invoer
9. Logs en monitoring
- Schakel logging van mislukte inlogpogingen in
- Gebruik New Relic of equivalent voor anomaliedetectie
- Bewaar logs minstens 90 dagen
10. TLS/SSL-certificaat
- Controleer of uw certificaat geldig en up-to-date is
- Gebruik minimaal TLS 1.3
- Leid al het HTTP-verkeer om naar HTTPS
11. Captcha en anti-bot bescherming
Magento 2 bevat Google reCAPTCHA v3. Zorg ervoor dat het:
- Is ingeschakeld op inlogformulieren
- Is ingeschakeld op registratieformulieren
- Is ingeschakeld op het wachtwoord vergeten-formulier
12. Back-ups en herstelplan
- Maak dagelijks een back-up van bestanden en database
- Bewaar back-ups offsite (S3, enz.)
- Test het herstel minstens één keer per kwartaal
13. Inactieve gebruikersaccounts
- Auditeer beheerdersaccounts elke maand
- Verwijder of deactiveer inactieve accounts
- Controleer de machtigingen van API-integratieaccounts
14. CSP (Content Security Policy)
- Implementeer een strikte CSP om XSS-aanvallen te voorkomen
- Test in rapportagemodus voordat u de blokkeringsmodus toepast
- Gebruik de Magento 2 CSP-module
15. Externe kwetsbaarheidsscan
- Gebruik een kwetsbaarheidsscanner (Sucuri, Qualys)
- Voer jaarlijkse penetratietests (pentest) uit
- Volg CVE's (Common Vulnerabilities and Exposures)
De beveiliging van uw winkel is een continu proces. Ik voer uitgebreide beveiligingsaudits uit voor Magento 2 en Adobe Commerce. Neem contact met me op om uw site te beveiligen.
Ik kan u helpen.
Laten we over uw project praten.