Недавно подписчики рассылки получили e-mail от команды Magento с сообщением о новых вредоносных программах, целью которых является сбор информации в процессе оформления заказа, в том числе информации о кредитной карте.
Попытаемся разобраться с этим сообщением, а также найти и устранить сторонний код на своем сайте.
Команда Мадженто рекомендует проверить свой сайт онлайн-инструментом magereport.com на предмет наличия потенциальных/имеющихся уязвимостей. Вводите адрес своего сайта и получаете отчет о его состоянии. Сайт-сканер представлен на английском языке, поэтому его знание вам поможет. Если вы не знаете английского языка, в данной статье мы рассмотрим основные моменты, на которые стоит обратить внимание.
Злоумышленники, вероятно, с помощью доступа администратора или доступа к базе данных, размещают на незащищенных сайтах свой эксплойт (вредный код). Пока нет конкретной информации о том, как злоумышленники получают доступ админа, но в общей массе взломанные сайты использовали слабые пароли, а также небезопасный логин в виде тривиального admin.
1) Не используйте в качестве логина admin. Если, все же, используете – замените его на более сложный в своей учетной записи: System – My Account (Система – Моя учетная запись)
2) Замените пароль к своей учетной записи (там же)
3) Замените пароль доступа к базе данных (на хостинге). Потом не забудьте изменить пароль на новый в файле настроек app/etc/local.xml
4) Проверьте свой сайт на наличие зловредных скриптов. Как правило они размещаются в двух местах:
Если вы заметили в указанных местах незнакомый скрипт, который включает в себя текст: “onepage|checkout”, — сразу удаляйте его.
5) Проверьте базу данных на наличие сторонних и/или неизвестных учетных записей.
6) Установите последние патчи безопасности (при необходимости). Как это можно сделать написано здесь.
7) Если вы используете не последнюю версию движка Мадженто – обновитесь.
P.S. Перед установкой патчей, обновлении движка, редактированием базы данных – обязательно делайте бекап системы и базы данных.
Надеемся, что данная статья была вам полезна и помогла перейти на сторону сильных практик по безопасности.
Недавно мы писали о нововведении в инструменте для вебмастеров Google Search Console – Основных интернет-показателях. Поскольку… Read More
Начиная с WordPress версии 2.9 в движок была добавлена поддержка oEmbed – формат простого API,… Read More
Существует много разновидностей швейного оборудования, которые открывают большие возможности для совершенствования навыков. Один из самых… Read More
Ленивая (или отложенная) загрузка (Lazy loading) – это популярный метод асинхронного обращения к адресу ресурса,… Read More
Мы ранее писали о нововведении в инструменте для вебмастеров Google Search Console – Основных интернет-показателях.… Read More
Водопад является одним из самых волнующих и красивых творений матушки-природы в нашем мире. По всему… Read More