Безопасность Мадженто – находим и устраняем сторонний код
Недавно подписчики рассылки получили e-mail от команды Magento с сообщением о новых вредоносных программах, целью которых является сбор информации в процессе оформления заказа, в том числе информации о кредитной карте.
Попытаемся разобраться с этим сообщением, а также найти и устранить сторонний код на своем сайте.
1. Сканируем свой сайт
Команда Мадженто рекомендует проверить свой сайт онлайн-инструментом magereport.com на предмет наличия потенциальных/имеющихся уязвимостей. Вводите адрес своего сайта и получаете отчет о его состоянии. Сайт-сканер представлен на английском языке, поэтому его знание вам поможет. Если вы не знаете английского языка, в данной статье мы рассмотрим основные моменты, на которые стоит обратить внимание.
2. Угроза
Злоумышленники, вероятно, с помощью доступа администратора или доступа к базе данных, размещают на незащищенных сайтах свой эксплойт (вредный код). Пока нет конкретной информации о том, как злоумышленники получают доступ админа, но в общей массе взломанные сайты использовали слабые пароли, а также небезопасный логин в виде тривиального admin.
3. Советы по повышению безопасности
1) Не используйте в качестве логина admin. Если, все же, используете – замените его на более сложный в своей учетной записи: System – My Account (Система – Моя учетная запись)
2) Замените пароль к своей учетной записи (там же)
3) Замените пароль доступа к базе данных (на хостинге). Потом не забудьте изменить пароль на новый в файле настроек app/etc/local.xml
4) Проверьте свой сайт на наличие зловредных скриптов. Как правило они размещаются в двух местах:
- Конфигурация – Общие – Дизайн – HTML заголовок – Различные скрипты (Miscellaneous Scripts), или
- Конфигурация – Общие – Дизайн – Футер – Разлычный HTML (Miscellaneous HTML).
Если вы заметили в указанных местах незнакомый скрипт, который включает в себя текст: “onepage|checkout”, — сразу удаляйте его.
5) Проверьте базу данных на наличие сторонних и/или неизвестных учетных записей.
- Откройте базу данных (например, с помощью phpMyAdmin) и осмотрите таблицу admin_user. Она не должна содержать незнакомых вам учетных записей.
6) Установите последние патчи безопасности (при необходимости). Как это можно сделать написано здесь.
7) Если вы используете не последнюю версию движка Мадженто – обновитесь.
P.S. Перед установкой патчей, обновлении движка, редактированием базы данных – обязательно делайте бекап системы и базы данных.
Надеемся, что данная статья была вам полезна и помогла перейти на сторону сильных практик по безопасности.
Последние посты
Пыльцевые благовония — разновидности
Пыльцевые благовония, такие как в eleven:eleven также известные как агарбатти, это одна из наиболее распространенных… Читать далее
Приложения в айфоне, которые помогут организовать жизнь
Мы пользуемся своими смартфонами каждый день, часто даже не выпуская их из рук часами. В… Читать далее
Важные моменты в вопросе монетизации мобильных приложений
Количество загрузок мобильных приложений стремительно растет из года в год. Хотя более 90% всех загрузок… Читать далее
Фрезер для маникюра – профессиональный уход за ногтями
Маникюр в наше время стал неотъемлемой частью по уходу за собой, который придает ногтям аккуратный… Читать далее
Как выбрать игровую приставку?
Выбор игровой приставки является ответственным делом для любого геймера. Сегодняшний рынок предлагает множество моделей, каждая… Читать далее
Как выбрать подрядчика по SEO в Киеве?
Выбор подрядчика для seo-продвижения веб-ресурсов разных тематик в Киеве может стать сложной задачей из-за обилия… Читать далее