Magento 2 Security Checklist 2026: 25 Punten

# Magento 2 Security Checklist 2026: 25 Punten Die Je Webshop Beschermen

Elke dag worden er wereldwijd tientallen Magento-webshops gecompromitteerd. Magento is het meest aangevallen e-commerceplatform ter wereld — waar geld stroomt, volgen aanvallers.

Het goede nieuws: de meeste aanvallen zijn te voorkomen. Niet met dure software, maar met discipline en de juiste configuratie. Deze checklist geeft je 25 concrete actiepunten.

Server & Hosting

1. SSH-sleutels in plaats van wachtwoorden

Schakel wachtwoordauthenticatie voor SSH volledig uit. Een brute-force aanval op een wachtwoord is triviaal; op een SSH-sleutel is het onmogelijk.

2. Firewall met strikte allowlist

Sta alleen verkeer toe op poorten 80, 443 en je SSH-poort. Blokkeer standaard alles met ufw of firewalld.

3. PHP up-to-date

PHP-versies die end-of-life zijn ontvangen geen beveiligingsupdates. Magento 2.4.7+ vereist PHP 8.2 of 8.3.

4. Correcte bestandsrechten

Mappen: 755. Bestanden: 644. Nooit world-writable (777). De mappen var/, pub/media/ en pub/static/ mogen schrijfbaar zijn voor de webserver-gebruiker.

5. Beveiligingsheaders via Nginx

Voeg toe: X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy en Strict-Transport-Security.

6. HTTPS forceren met geldig TLS-certificaat

Redirect alle HTTP naar HTTPS. Onderstuen TLS 1.2 en 1.3 — schakel 1.0 en 1.1 uit.

Magento Admin

7. Tweefactorauthenticatie (2FA) verplicht

Magento 2 heeft 2FA ingebouwd. Controleer: bin/magento module:status Magento_TwoFactorAuth.

8. Aangepaste admin-URL

Verander /admin naar iets niet-gisbaar. Kies iets als /beheer-7x92k.

9. IP-whitelist op admin

Beperk admin-toegang tot vaste IP-adressen via Nginx of .htaccess.

10. Sterk wachtwoordbeleid

Minimaal 12 tekens, mix van hoofdletters, cijfers en speciale tekens. Accountvergrendeling na mislukte pogingen.

11. Admin-gebruikersaudit

Controleer periodiek welke accounts actief zijn. Verwijder direct accounts van ex-medewerkers. bin/magento admin:user:list

12. Admin alleen via HTTPS

Zorg dat de admin nooit bereikbaar is via HTTP.

Code & Extensies

13. Beveiligingspatches direct installeren

Controleer magento.com/security. Loop nooit meer dan één versie achter.

14. Extensie-audit

Stel voor elke extensie de vraag: Is de ontwikkelaar actief? Welke rechten vraagt het? Komt het van een vertrouwde bron? Verwijder ongebruikte extensies.

15. Content Security Policy (CSP) headers

CSP is een van de effectiefste wapens tegen Magecart-aanvallen. Magento 2.4+ ondersteunt CSP natively.

16. Gebruikersinvoer valideren

Gebruik nooit ruwe invoer in SQL-queries. Magento's ORM en ResourceModel bieden parameterisatie.

17. Statische analyse op kwetsbare code

Gebruik PHP_CodeSniffer met de Magento Coding Standard of PHPStan in je CI/CD-pipeline.

18. Testbestanden verwijderen

Controleer dat /pub/info.php en andere standaard testbestanden niet publiek toegankelijk zijn.

Monitoring & Detectie

19. Sansec/MageReport scan maandelijks

Voer minimaal maandelijks een externe scan uit en direct na iedere update.

20. File integrity monitoring

Vergelijk bestandschecksums met een baseline. Detecteer onverwachte wijzigingen in PHP-bestanden.

21. Uptime monitoring

Gebruik UptimeRobot, Better Uptime of vergelijkbaar. Weet binnen seconden als je shop offline gaat.

22. Access logs analyseren

Let op: hoge aantallen verzoeken van één IP, verzoeken naar /admin, 500-fouten op betaalpagina's, scanpogingen.

23. Meldingen voor beheerdersacties

Configureer e-mailnotificaties voor nieuwe admingebruikers, configuratiewijzigingen en klantdata-exports.

Backup & Recovery

24. Dagelijkse backups, off-site opslag

Database en pub/media/ dagelijks backuppen. Bewaar 30 dagen. Sla op buiten de server (AWS S3, Backblaze B2). Versleutel altijd.

25. Backup restore testen

Plan elk kwartaal een hersteltest. Een backup die je nooit hebt getest, is een illusie.

Hoe vaak doorlopen?

| Frequentie | Actiepunten |

|---|---|

| Dagelijks | Uptime monitoring, access logs |

| Wekelijks | Backup-verificatie, admingebruikers |

| Maandelijks | Security scan, extensie-audit, PHP-versie |

| Per kwartaal | Backup restore-test, disaster recovery oefening |

| Bij elke update | Patch review, bestandsrechten |

Conclusie

Beveiliging is geen project met een einddatum — het is een doorlopend proces. Begin met 2FA op de admin, SSH-hardening, beveiligingspatches en dagelijkse off-site backups. Die vier punten elimineren de meest voorkomende aanvalsvectoren.

De investering in beveiliging is altijd kleiner dan de kosten van een hack.

Lees ook ons artikel over wat te doen als je Magento shop gehackt is, of bekijk onze Magento hosting-aanbevelingen voor een veilige serveromgeving.

Veelgestelde vragen

Hoe weet ik of mijn shop al gehackt is?

Voer een scan uit op sansec.io of magereport.com. Controleer je admingebruikerslijst op onbekende accounts.

Moet ik een Magento-gespecialiseerde hoster kiezen?

Een gespecialiseerde hoster begrijpt de beveiligingseisen en biedt automatische updates en geoptimaliseerde configuraties. Lees meer op onze hosting-pagina.

Hoe snel moet ik patches installeren?

Kritieke patches (CVSS 9+) binnen 24-48 uur. Gebruik een staging-omgeving om snel te valideren.

Is gedeelde hosting veilig genoeg?

Nee. Op gedeelde hosting kan een kwetsbaarheid bij een andere klant jouw shop treffen. Gebruik minimaal een VPS of managed Magento hosting.

Wat is het verschil tussen Magecart en een reguliere hack?

Magecart plaatst onzichtbare JavaScript-skimmers op betaalpagina's om kaartgegevens realtime te stelen. CSP-headers en file integrity monitoring zijn de beste verdediging.