keyboard_arrow_up

Magento 2.4.0 – Sicherheit im Fokus

Magento Update 2.4.0

Das Magento 2.4 Update bringt zahlreiche Neuerungen für die E-Commerce Plattform. Neben allgemeinen Verbesserungen in Sachen Sicherheit, Qualität und Technologie, stehen ab sofort auch einige neue Funktionen zur Verfügung. Zusätzlich zur neuen Magento Version hat auch das Security-only patch ein Update auf 2.3.5-p2 bekommen.  

Sicherheitsupdates 

Die wohl größte Neuigkeit ist die Implementierung der Zwei-Faktor-Authentifizierung (2FA) sowohl in der Open-Source Version als auch in Magento Commerce. Dabei werden die Kontentypen Cloud Admin, Magento Admin und Magento.com geschützt. Dieser Schutz gilt für alle Magento-Services wie My Account, Magento Forums, Magento Help Center, Magento Marketplace, Magento U und Cloud Admin. 

Für Magento Admin ist dieses Sicherheitsupdate verpflichtend und kann auch nicht mehr deaktiviert werden. Magento.com-Accounts und Cloud Admin Accounts können die Funktion optional in den Kontoeinstellungen aktivieren. 

Insgesamt über 30 Sicherheitskorrekturen und Optimierungen erfolgen mit der Magento Version 2.4. Dabei wurden unter anderem auch RCE-Schwachstellen (Remote Code Execution) und XSS-Lücken (Cross Site Scripting) geschlossen. So erschwert sich der Zugriff auf Endgeräte durch Angreifer aus der Ferne und mögliche ungewollte Änderungen und Ausführungen innerhalb der Software werden verhindert. Des Weiteren können Computer-Sicherheitslücken, bei denen ein vertrauter Zugriff auf die Plattform vorgetäuscht wird, nicht mehr ausgenutzt werden. Somit wird verhindert, dass sensible Daten wie Benutzerkonten, Zahlungs- oder Kundeninformationen unrechtmäßig aufgerufen werden.  

  • Verbesserungen der Content Security Policy (CSP)

  • Magento-Komponenten (inklusive CMS-Seiten und -Blöcke) sind durch die standardmäßige Aktivierung des „sicheren“ Modus vor Zugriffen geschützt.   

  • Das Rendern von Daten für UI-Datenanbieter ist jetzt standardmäßig deaktiviert. Dadurch wird Angreifenden die Möglichkeit genommen, beliebiges JavaScript auszuführen. 

Verbesserung der Infrastruktur 

Im Core von Magento wurden mit der Version 2.4 die Module Kundenkonto, Katalog, CMS, Import, Warenkorb und Kasse sowie B2B verbessert. Zudem gibt es weitere Optimierungen im Bereich PWA, Payment und Lagerverwaltung:  

  • Payment: 
    Die Integrationen der Zahlungsmethoden Authorize.Net, Braintree, eWay, CyberSource und Worldpay wurden aus dem Core entfernt. Händler sollten zu den offiziellen Erweiterungen migrieren, die auf dem Magento Marketplace verfügbar sind. 
    Die PayPal Express Checkout-Integration wird auf das neueste PayPal JavaScript SDK (Software Development Kit) migriert, ein SDK, das die erforderlichen Risikoparameter automatisch erfasst und an PayPal weiterleitet. Das Verhalten der Zahlungsmethode PayPal Express Checkout bleibt unverändert. Durch das Upgrade dieses SDK auf die neueste Version können Händler jedoch auf die neuesten Funktionen und Sicherheitsverbesserungen zugreifen. 
    „Web Payments“ erlauben es KundInnen eines Magento-Shops nun über Browser-native Features schneller und einfacher zu bestellen und zu bezahlen. Dabei werden z.B. Zahlungsdaten einmalig im Browser hinterlegt und in verschiedenen Webshops wiederverwendet.

  • Elasticsearch unterstützt jetzt die Verwendung von „Teilwörtern“ in Suchbegriffen für Produktnamen und SKUs bei Verwendung der Schnellsuche. 

  • PWA Studio deckt in Magento 2.4.0 das komplette Frontend für B2C-KundInnen ab. Für B2B werden die „wichtigsten“ Teile implementiert. Außerdem kann man PWA-Erweiterungen über den Marketplace beziehen. Die Qualität und Performance gegenüber Magento 2.3 wird dadurch verbessert. 

  • Store Pickup (oder auch „Click und Collect“) stellt eine Erweiterung von MSI (Multi Stock Inventory) dar. HändlerInnen sollen für jede „Source“ (Lager) definieren können, ob das Abholen der Ware dort möglich ist. KundInnen können im Checkout die gewünschte Filiale auswählen.  

Plattformoptimierungen 

  • Die Unterstützung von PHP 7.4 und PHPUnit 9.x wurde eingeführt. Ältere Versionen werden nicht mehr unterstützt. 

  • Elasticsearch 7.6.x ist nun die Standard-Katalogsuchmaschine für Magento Commerce und auch für Magento Open Source.  

  • Magento 2.4.x unterstützt MySQL 8.x und fördert somit eine verbesserte Leistung, Sicherheit und Zuverlässigkeit. 

Insgesamt präsentiert Magento mit dem 2.4 Update ein umfangreiches Sicherheitspaket, das den neusten Standards entspricht und E-Commerce Händler umfassend vor Zu- und Angriffen auf ihren Online-Shop schützt. Zudem wurde mit der Aktualisierung und Verschlankung verschiedenster Core-Funktionalitäten und Schnittstellen die Performance und Benutzerfreundlichkeit noch weiter gesteigert.   

Sie haben Fragen zu Magento? Als langjähriger Magento-Partner helfen wir gerne weiter. Nehmen Sie Kontakt mit uns auf!
Einen Überblick zu unseren Magento Leistungen finden Sie auch unter  flagbit.de/magento

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.