Dokumentation Commerce Handbuch für Admin-Systeme

Sicherheitsüberprüfung

11. Juni 2025

Themen:

Erstellt für:

Einsteiger
Fortgeschrittener
Admin

Das Adobe Commerce Security Scan Tool bietet eine kostenlose Sicherheitsüberwachung für Ihre Adobe Commerce- und Magento Open Source-Sites. Das Tool funktioniert als webbasierter Service, auf den Sie über Ihr Adobe Commerce-Online-Konto unter account.magento.com zugreifen können.

Sicherheits-Scan-Tool

NOTE

Adobe bietet diesen Service kostenlos an. Händler müssen jedoch Bedingungen akzeptieren, die die Haftung von Adobe auf der Grundlage von Suchergebnissen und der Website-Konfiguration einschränken.

Abdeckung scannen

Das Security Scan Tool arbeitet sowohl über HTTP- als auch über HTTPS-Protokolle, um Malware zu erkennen, Sicherheitslücken zu erkennen und den Sicherheitszustand Ihres Stores zu erhalten. Das Tool steht allen Händlern, Entwicklern und dem für die Site-Sicherheit verantwortlichen Personal zur Verfügung.

Das Security Scan Tool bietet umfassende Sicherheitsüberwachungsfunktionen, mit denen Sie eine sichere Speicherumgebung aufrechterhalten können:

Erhalten Sie mit insight einen Echtzeitsicherheitsstatus Ihres Stores.
Erhalten Sie Vorschläge auf der Grundlage von Best Practices, die Sie bei der Lösung von Problemen unterstützen.
Planen Sie die Ausführung einer Sicherheitsprüfung wöchentlich, täglich oder nach Bedarf.
Führen Sie über 21.000 Sicherheitstests durch, um potenzielle Malware zu identifizieren.
Zugriff auf historische Sicherheitsberichte, die den Fortschritt Ihrer Sites verfolgen und überwachen.
Greifen Sie mit allen empfohlenen Aktionen auf den Scanbericht zu, der erfolgreiche und fehlgeschlagene Prüfungen anzeigt.

NOTE

Bestimmte Sicherheitstests können bei der Suche des Security Scan Tools nach Adobe Commerce nicht ausgeschlossen werden. Sie können sich jedoch ggf. selbst , indem Sieals falsch positiv kennzeichnen.

Zugriff

Das Security Scan Tool schützt Ihre Website-Daten mit strengen Zugriffskontrollen. Nur Sie können Ihre Site scannen, da das Tool die Domain-Eigentümerschaft über Ihr Adobe Commerce-Konto verifizieren muss. Jede Site stellt über ein eindeutiges Token eine Verbindung zu Ihrem Konto her und verhindert so das unbefugte Scannen durch Dritte.

Das Tool konzentriert sich speziell auf Adobe Commerce-Domains und deren Sicherheitslücken. Ihr Webstore kann zwar Seiten von anderen Plattformen enthalten, das Security Scan Tool sollte jedoch nur Adobe Commerce-generierte Inhalte scannen, um zuverlässige Ergebnisse zu erzielen. Das Scannen von Nicht-Adobe Commerce-Seiten kann zu unzuverlässigen Schwachstellenbewertungen führen.

Ausführen eines Scans

Der Scan-Prozess überprüft Ihre Site auf bekannte Sicherheitsprobleme und identifiziert fehlende Adobe Commerce-Patches und -Updates, die Ihren Store für Angriffe anfällig machen könnten.

TIP

Informationen zu Commerce in Cloud-Infrastrukturprojekten finden Sie unter Einrichten des Sicherheits-Scan-Tools.

So führen Sie eine Suche durch:

Melden Sie sich auf der Commerce-Startseite bei Ihrem Commerce/Magento-Konto an.
Lesen und akzeptieren Sie die Bedingungen für die Verwendung des Security Scan Tools.
1. Wählen Sie im linken Bedienfeld Security Scan aus.
2. Klicken Sie auf Go to Security Scan.
3. Lies die Terms and Conditions.
4. Zum Fortfahren auf Agree klicken.
Klicken Sie auf der Monitored Websites Seite auf +Add Site.

Wenn Sie mehrere Websites mit unterschiedlichen Domains haben, konfigurieren Sie für jede Domain einen separaten Scan.
Um zu überprüfen, ob Sie der Eigentümer der Website-Domain sind, indem Sie einen Bestätigungscode hinzufügen, führen Sie einen der folgenden Schritte aus:

Commerce-Storefront:
1. Geben Sie den Site URL und die Site Name ein.
2. Klicken Sie auf Generate Confirmation Code.
3. Klicken Sie Kopieren, um Ihren Bestätigungs-Code in die Zwischenablage zu kopieren.
4. Melden Sie sich beim Administrator Ihres Stores als Benutzer mit vollständigen Administratorrechten an und führen Sie die folgenden Schritte aus:
  1. Navigieren Sie in Admin-Seitenleiste zu Content > Design>Configuration.
  2. Suchen Sie Ihre Site in der Liste und klicken Sie auf Edit.
  3. Erweitern Sie den Abschnitt HTML Head .
  4. Scrollen Sie nach unten zu Scripts and Style Sheets und klicken Sie in das Textfeld am Ende eines vorhandenen Codes. Fügen Sie den Bestätigungscode in das Textfeld ein.
  5. Klicken Sie abschließend auf Save Configuration.
PWA-Storefront:
1. Geben Sie den Site URL und die Site Name ein.
2. Wählen Sie Confirmation Code die Option META Tag aus und klicken Sie dann auf Generate Code.
3. Klicken Sie auf Copy , um das generierte Bestätigungs-Code-META-Tag in die Zwischenablage zu kopieren.
4. Gehen Sie zum Projektverzeichnis der PWA Studio-Storefront und gehen Sie folgendermaßen vor:
  1. Wechseln Sie im PWA Studio-Projektverzeichnis zu packages > venia-concept > template.html.
  2. Fügen Sie den kopierten Bestätigungs-Code (das generierte META-Tag) zum HTML-Head hinzu und speichern Sie die Änderungen.
  3. Kehren Sie zur PWA Studio-CLI zurück, installieren Sie mithilfe von „Garn“ die Projektabhängigkeiten und führen Sie den Projekterstellungsbefehl aus.
    yarn install && yarn build
  4. Erstellen Sie Cloud-Projekt einen pwa Ordner und kopieren Sie den Inhalt in den dist Ordner Ihres Storefront-Projekts.
    mkdir pwa && cp -r <path to your storefront project>/dist/* pwa
  5. Verwenden Sie das Git-CLI-Tool, um diese Änderungen zu testen, zu übertragen und in Ihr Cloud-Projekt zu übertragen.
    git add . && git commit -m "Added storefront file bundles" && git push origin
    Nach Abschluss des Build-Prozesses werden die Änderungen an Ihrer PWA-Storefront bereitgestellt.
Kehren Sie zur Seite Security Scan in Ihrem Commerce-Konto zurück und klicken Sie auf Verify Confirmation Code, um die Eigentümerschaft an der Domain herzustellen.
Konfigurieren Sie nach erfolgreicher Bestätigung die Set Automatic Security Scan für einen der folgenden Typen:

Wöchentlicher Scan (empfohlen):

Wählen Sie Week Day, Time und Time Zone aus, dass der Scan jede Woche durchgeführt werden soll.

Standardmäßig ist der Scan so geplant, dass er jede Woche um Mitternacht Samstag (UTC) beginnt und bis zum frühen Sonntag fortgesetzt wird.

Tägliche Suche:

Wählen Sie die Time aus und Time Zone Sie, dass der Scan jeden Tag stattfinden soll.

Standardmäßig ist der Beginn der Suche für jeden Tag um Mitternacht (UTC) geplant.
Geben Sie die Email Address ein, in der Sie Benachrichtigungen über abgeschlossene Suchvorgänge und Sicherheits-Updates erhalten möchten.
Klicken Sie abschließend auf Submit.

Nachdem das Eigentum an der Domain überprüft wurde, wird die Site in der Liste Überwachte Websites Ihres Commerce-Kontos angezeigt.
Wenn Sie mehrere Websites mit unterschiedlichen Domains haben, wiederholen Sie diesen Vorgang, um für jede Website eine Sicherheitsprüfung einzurichten.

Suchfehler verwalten

Mit dem Security Scan Tool können Sie Suchfehler direkt in der Berichtsansicht verwalten. Sie können bestimmte Überprüfungsfehler als falsch positiv markieren und aus Ihrer Risikobewertung ausschließen.

Vorteile bei der Verwaltung von Scanfehlern

Die Verwaltung von Suchfehlern hilft Ihnen, eine genauere Sicherheitsübersicht über Ihren Store zu erhalten, indem:

Reduzierung von Fehlalarmen in Ihren Sicherheitsberichten.
Konzentration auf relevante Sicherheitsprobleme, die Aufmerksamkeit erfordern.
Pflegen einer klareren Übersicht über den tatsächlichen Sicherheitsstatus Ihres Stores.
Die Notwendigkeit, den Support bei bekannten falsch positiven Ergebnissen zu kontaktieren, entfällt.
Zeitersparnis durch die Selbstverwaltung von bereits untersuchten Scan-Fehlern.

Häufige Szenarien, in denen Sie einen Scan-Fehler als falsch positiv markieren können, sind:

Wenn Sie bereits einen Sicherheits-Patch angewendet haben, den das Scan-Tool nicht erkannt hat.
Wenn ein erkanntes Problem nicht auf Ihre spezifische Store-Konfiguration zutrifft.
Wenn Sie eine alternative Sicherheitsmaßnahme implementiert haben, mit der das Problem behoben wird.
Wenn der Überprüfungsfehler auf einer Konfiguration basiert, die Sie absichtlich für Ihre Geschäftsanforderungen festgelegt haben.

Scan-Fehler ignorieren

Gehen Sie wie folgt vor, um Scanfehler zu verwalten, die als falsch positiv identifiziert wurden:

Klicken Sie auf der Seite Monitored Websites auf View Report für die Site, die Sie verwalten möchten.
Suchen Sie in der Berichtsansicht den fehlgeschlagenen Scan, den Sie als falsch positiv markieren möchten.
Klicken Sie auf Ignore, um den jeweiligen Scan-Fehler anzuzeigen.
Klicken Sie auf Apply Changes , um Ihre Auswahl zu speichern.

Der ignorierte Überprüfungsfehler wird in den Abschnitt "Ignored Results" verschoben und von der Risikobewertung ausgeschlossen.

Suchfehler nicht mehr ignorieren

Führen Sie die folgenden Schritte aus, um einen zuvor ignorierten Überprüfungsfehler auf Ihrer aktiven Überwachung wiederherzustellen:

Scrollen Sie in der Berichtsansicht zum Abschnitt Ignored Results.
Klicken Sie auf Stop Ignoring für den Suchfehler, den Sie wiederherstellen möchten.
Klicken Sie auf Apply Changes , um Ihre Auswahl zu speichern.

Der Scan-Fehler wird wieder in den Abschnitt Failed Scans verschoben und ist in Ihrer Risikobewertung enthalten.

Ignorierte Scanfehler anzeigen

Ignorierte Ergebnisse werden in einem separaten Abschnitt des Berichts angezeigt. Die Risikobewertung wird automatisch aktualisiert, um nur aktive Scan-Fehler widerzuspiegeln. Sie können mehrere Überprüfungsfehler gleichzeitig verwalten, indem Sie mehrere Elemente auswählen, bevor Sie Änderungen anwenden.

Ignorierte Suchfehler anzeigen

recommendation-more-help