Shopware 6 Security Audit Plugin

Shopware 6 (German) Programmierung
1

ich würde gerne eure fachliche Einschätzung zu einer Plugin-Idee für Shopware 6 einholen und bewusst eine offene Diskussion dazu starten.

Kurz zu mir:
Ich bin Fachinformatiker und arbeite seit mehreren Jahren im Bereich IT- und Informationssicherheit (u. a. mit Fokus auf Risiko-, Schwachstellen- und Konfigurationsanalysen). Die bestehenden Security-Plugins im Store sind mir bekannt.

Grundidee des Plugins

Ziel ist ein strukturierter Sicherheits- und Informationssicherheits-Check für Shopware-Shops – vergleichbar mit einem Reifegrad- oder Status-Check.

Geplant sind u. a.:

Externe Checks

  • OWASP-Top-10-nahe Prüfungen auf Web-Ebene (ohne Penetrationstest)
  • Analyse der externen Angriffsfläche (z. B. erreichbare Services / Ports beim Hosting)
  • DNS-Checks inkl. Monitoring relevanter Änderungen (SPF, DKIM, DMARC, TLS-Parameter)
  • Bewertung von E-Mail- und Transport-Sicherheit
  • Anbindung an Have I Been Pwned zur Prüfung der Shop-Domain auf bekannte Leaks

Interne / Shopware-bezogene Checks

  • Sicherheitsrelevante Konfigurationsprüfungen
  • Abhängigkeiten / Plugin-Status (veraltet, kritisch, ungepflegt)
  • Update- und Patch-Reifegrad
  • Grundlegende Härtungs-Empfehlungen
  • Zusammenfassung der Ergebnisse in verständlicher Form (kein reines Technik-Reporting)

Zielsetzung

  • Transparenz über den aktuellen Sicherheitsstatus
  • keine aktive Eingriffs- oder Haftungsthematik
  • kein Ersatz für Penetrationstests
  • Fokus auf Erkennung, Bewertung und Einordnung, nicht auf automatische Behebung
  • Verständlich für Shopbetreiber & Entscheider, nicht nur für Admins
  • Direkte Handlungsempfehlungen

Meine Frage an euch

  • Seht ihr für so ein Plugin einen realen Mehrwert im Shopware-Ökosystem?
  • Wo seht ihr Grenzen, die man zwingend beachten sollte?
  • Gibt es aus eurer Sicht Punkte, die häufig übersehen werden, aber relevant wären?

Ich freue mich über kritisches Feedback.

Vielen Dank.

2

@EcomSec interessanter Ansatz, aber via Plugin innerhalb von Shopware nicht lösbar, oder? Was wäre ein möglicher Output, der nicht schon aus Tools oder dgl. kommt?

3

Persönlich sehe ich hier keinen Nutzen. Wir setzen auf kompetenten Hoster und Shopware Sicherheitsplugin.

Einfach programmieren und in den Shopware Store stellen.

4

Hallo, vielen Dank für die Antwort.

Ist es nicht so, dass das Shopware Plugin primär zum Einspielen von Shopware Sicherheitsupdates gedacht ist?

Mein Fokus liegt hier eher zum einen auf der externen Betrachtung, Zertifikate, Verschlüsselung, DNS z.B. DMARC Einstellungen, Datenleaks etc. was durch einen externen Scan-Cluster durchgeführt wird (aus Sicht eines Angreifers). Sowie aber auch eine interne Betrachtung der sinnvollen Best-Practice Security Einstellungen für Shopware 6 und das Webhosting.

@frip-tech.de Genau das würde wie oben erwähnt extern erfolgen über API. Ziel wäre ein kleines “Audit” welches man auch ggf. der Geschäftsleitung vorlegen kann oder als Compliance-Nachweis. Kontinuierlicher monatlicher Scan mit Handlungsempfehlungen. Ich habe schon erlebt, dass z.B. sich E-Mail DNS Einstellungen mal ändern und Angreifern so z.B. E-Mail Spoofing etc. ermöglichen, ohne dass man es direkt mitbekommen oder Shopbetreiber Probleme haben bei der Zustellung der E-Mails an die Kunden, weil Gmail etc. diese abblocken, wenn Richtlinien nicht sauber gesetzt sind. Nur als ein Bsp.

Vielen Dank für das Feedback.

LG