Категории: Magento - как сделать

Уязвимость в CMS Magento – как установить патч

Magento считается самой популярной CMS для интернет-магазинов, чем и привлекает внимание злоумышленников. Как и в любой другой CMS иногда находятся бреши в безопасности, что сразу привлекает к себе внимание недобросовестных хакеров. А разработчики Magento выпускают патчи, когда находят любую уязвимость в системе, чтобы повысить ее безопасность.

Так, недавно обнаружился эксплойт, который проворачивает единственную функцию: создает фальшивый аккаунт админа в базе данных Magento.
Команда Magento уже выпускала недавно патчи, которые борются с такими угрозами, но, как оказалось, не все владельцы интернет-магазинов на Мадженто установили их себе. Хотя 2 последних патча были выпущены еще несколько месяцев назад (26 ноября 2014 и 9 февраля 2015), большая масса магазинов не поставила их себе. По разным причинам: то ли не знали, то ли не умели. С первой причиной разработчики борются отправкой «страшных» напоминаний в админпанели сайтов (как на рисунке).

Напоминание Мадженто об обновлении

 

А со второй причиной мы попытаемся справиться в этом уроке. В любом случае, настоятельно рекомендуется устанавливать такие патчи как можно скорее, чтобы обезопасить свой интернет-магазин.

В подобных случаях разработчики либо выпускают новый релиз движка с уже вшитым патчем, либо выкладывают патч отдельно. И в том, и в другом случае, ищите их на официальной страничке обновлений: https://www.magentocommerce.com/products/downloads/magento/

Установку релиза Magento мы уже рассматривали, а в этом уроке отдельно разберем процедуру установки только патча.

Есть 3 способа установки патчей, либо с помощью SSH, через FTP (или админку на хостинге) или же заказать услуги специалиста. Некоторые хостинг-провайдеры не предоставляют доступ по SSH, но у нас есть и другой вариант, чтобы провернуть процедуру установки патча.

 

Рекомендуем перед подобными процедурами делать резервную копию всей системы и базы данных. Также, после обновлений – меняйте пароли на сайте.

 

 

 

Способ 1. Установка через SSH

Скачайте патч по этой ссылке и загрузите его в корневую директорию своего сайта на Magento и запустите соответствующую команду через консоль SSH:

Для патчей с расширением файла .sh:
sh имя_файла.sh

Пример: sh PATCH_SUPEE-1868_CE_1.7.0.2_v1.sh

Для патчей с расширением файла .patch:
patch -p0 < имя_файла.patch

После этого обновите кэш в админке в разделе Система > Управление кэшем, чтобы задействовать изменения.
Если у вас возникают трудности или вопросы при работе с SSH, смело обращайтесь в службу поддержки своего хостинга, она сможет вам в этом помочь.

 

 

Способ 2. Установить патч через FTP

Патчи – это набор файлов и инструкций, заархивированных определенными программами. В нашем случае патч содержит некие файлы, которые должны изменить/или дописать определенные файлы в движке Мадженто и запакованных в формате .sh/или .patch. Поскольку обычными (офисными) инструментами такие архивы нельзя открыть, мы попробуем найти уже разархивированные файлы. Мы нашли такие архивы, подготовленные командой MageComp, которые она выложила в свободный доступ здесь. Они подготовили файлы для патча PATCH_SUPEE-1533.sh и патча PATCH_SUPEE-5344.sh в формате .zip. Вы сможете скачать у них файлы патчей для версий Magento (1.6.xx), Magento (1.7.xx), Magento (1.8.xx — 1.9.1.0) и затем установить у себя.

Патч SUPEE-1533 изменяет следующие файлы в системе:

  • app/code/core/Mage/Adminhtml/Block/Dashboard/Graph.php
  • app/code/core/Mage/Adminhtml/controllers/DashboardController.php

 

А патч SUPEE-5344 изменяет такие файлы:

  • app/code/core/Mage/Admin/Model/Observer.php
  • app/code/core/Mage/Core/Controller/Request/Http.php
  • app/code/core/Mage/Oauth/controllers/Adminhtml/Oauth/AuthorizeController.php
  • app/code/core/Mage/XmlConnect/Model/Observer.php
  • lib/Varien/Db/Adapter/Pdo/Mysql.php

 

Все, что вам нужно – это скачать данные патчи в фомате .zip, разархивировать у себя на компьютере, а затем скопировать с заменой по FTP на хостинг. После этого обновить кэш в админке в разделе Система > Управление кэшем, чтобы задействовать изменения.

 

 

Способ 3. Заказать такую услугу у специалиста

В сети Интернет можно найти специалистов по Мадженто, которые согласятся помочь вам в этом за определенную плату.

 

Мы считаем, что оптимальный вариант установки – через SSH, но если у вас это вызывает трудности, вы сможете использовать 2 других метода.
Обязательно обезопасьте свой магазин на Мадженто!

 

Share
Теги: Magento
26/04/2015 22:02

Последние посты

Как выбрать идеальный ноутбук: Полный гайд

Выбор ноутбука может быть сложной задачей в мире, где рынок переполнен вариантами на любой вкус… Читать далее

22/04/2024

Томас Эдисон

Наша самая большая слабость заключается в том, что мы быстро сдаемся. Самый верный способ добиться… Читать далее

20/04/2024

Самые красивые и впечатляющие мосты со всего мира (ТОП-10)

Мост — это нечто большее, чем просто сооружение, соединяющее два берега. Для того, чтобы появился… Читать далее

19/04/2024

Соломон

Жизнь нас учит, что свою пару мы познаем, когда разводимся, своих братьев мы познаем, когда… Читать далее

18/04/2024

Чак Паланик

Кто может — тот делает. Кто не может — тот критикует Чак Паланик   Читать далее

17/04/2024

Ричард Бах

Ни одно желание не дается тебе отдельно от силы, позволяющей его осуществить. Хотя, возможно, для… Читать далее

16/04/2024