Terug naar blog
2026-06-29Sécurité

Magento 2 beveiligingsaudit: 15 te controleren punten in 2026


Waarom een beveiligingsaudit essentieel is


In 2026 zijn aanvallen op e-commercewebsites geavanceerder dan ooit. Adobe Commerce/Magento 2 blijft een favoriet doelwit van hackers vanwege zijn populariteit en de gevoelige gegevens die het verwerkt.


Een regelmatige beveiligingsaudit is geen optie — het is een noodzaak. Hier zijn de 15 punten die u zonder mankeren moet controleren.


1. Versies en beveiligingspatches


Zorg ervoor dat uw Magento 2-instantie de nieuwste beschikbare versie gebruikt. Adobe publiceert regelmatig beveiligingspatches:


  • Raadpleeg de Adobe-beveiligingsbulletin
  • Pas patches binnen 48 uur na release toe
  • Automatiseer updates met Composer

2. Configuratie van beheerdertoegang


  • Schakel twee-factorauthenticatie (2FA) in
  • Gebruik sterke wachtwoorden en een wachtwoordmanager
  • Beperk het aantal inlogpogingen
  • Wijzig de standaard beheerder-URL

3. Bestands- en maprechten


Onjuiste rechten zijn een open deur voor aanvallers:


  • Bestanden: 644
  • Mappen: 755
  • app/etc/env.php mag nooit openbaar toegankelijk zijn

4. Databasebeveiliging


  • Wijzig het standaard tabelprefix
  • Gebruik sterke wachtwoorden voor SQL-toegang
  • Beperk geautoriseerde IP's voor databaseverbindingen

5. Redis- en Varnish-configuratie


  • Authenticeer Redis-toegang
  • Beperk geautoriseerde IP's voor Varnish
  • Gebruik TLS voor cache-verbindingen

6. Bescherming tegen XSS- en CSRF-aanvallen


Magento 2 bevat native beveiliging, maar controleer:


  • Dat XSS-validators actief zijn
  • Dat CSRF-tokens worden gegenereerd voor alle formulieren
  • Dat uw aangepaste modules deze mechanismen respecteren

7. Betalingsbeveiliging


  • Controleer of uw betalingsmodules PCI DSS gebruiken
  • Schakel 3D Secure (SCA) in voor kaartbetalingen
  • Sla nooit creditcardgegevens op uw server op

8. Web-API en GraphQL


API's zijn veelvoorkomende aanvalsvectoren:


  • Beperk API-toegang per integratiesleutel
  • Schakel rate limiting in
  • Valideer alle GraphQL-invoer

9. Logs en monitoring


  • Schakel logging van mislukte inlogpogingen in
  • Gebruik New Relic of equivalent voor anomaliedetectie
  • Bewaar logs minstens 90 dagen

10. TLS/SSL-certificaat


  • Controleer of uw certificaat geldig en up-to-date is
  • Gebruik minimaal TLS 1.3
  • Leid al het HTTP-verkeer om naar HTTPS

11. Captcha en anti-bot bescherming


Magento 2 bevat Google reCAPTCHA v3. Zorg ervoor dat het:


  • Is ingeschakeld op inlogformulieren
  • Is ingeschakeld op registratieformulieren
  • Is ingeschakeld op het wachtwoord vergeten-formulier

12. Back-ups en herstelplan


  • Maak dagelijks een back-up van bestanden en database
  • Bewaar back-ups offsite (S3, enz.)
  • Test het herstel minstens één keer per kwartaal

13. Inactieve gebruikersaccounts


  • Auditeer beheerdersaccounts elke maand
  • Verwijder of deactiveer inactieve accounts
  • Controleer de machtigingen van API-integratieaccounts

14. CSP (Content Security Policy)


  • Implementeer een strikte CSP om XSS-aanvallen te voorkomen
  • Test in rapportagemodus voordat u de blokkeringsmodus toepast
  • Gebruik de Magento 2 CSP-module

15. Externe kwetsbaarheidsscan


  • Gebruik een kwetsbaarheidsscanner (Sucuri, Qualys)
  • Voer jaarlijkse penetratietests (pentest) uit
  • Volg CVE's (Common Vulnerabilities and Exposures)

De beveiliging van uw winkel is een continu proces. Ik voer uitgebreide beveiligingsaudits uit voor Magento 2 en Adobe Commerce. Neem contact met me op om uw site te beveiligen.