Уязвимость в CMS Magento – как установить патч

Magento считается самой популярной CMS для интернет-магазинов, чем и привлекает внимание злоумышленников. Как и в любой другой CMS иногда находятся бреши в безопасности, что сразу привлекает к себе внимание недобросовестных хакеров. А разработчики Magento выпускают патчи, когда находят любую уязвимость в системе, чтобы повысить ее безопасность.

Так, недавно обнаружился эксплойт, который проворачивает единственную функцию: создает фальшивый аккаунт админа в базе данных Magento.
Команда Magento уже выпускала недавно патчи, которые борются с такими угрозами, но, как оказалось, не все владельцы интернет-магазинов на Мадженто установили их себе. Хотя 2 последних патча были выпущены еще несколько месяцев назад (26 ноября 2014 и 9 февраля 2015), большая масса магазинов не поставила их себе. По разным причинам: то ли не знали, то ли не умели. С первой причиной разработчики борются отправкой «страшных» напоминаний в админпанели сайтов (как на рисунке).

Напоминание Мадженто об обновлении

 

А со второй причиной мы попытаемся справиться в этом уроке. В любом случае, настоятельно рекомендуется устанавливать такие патчи как можно скорее, чтобы обезопасить свой интернет-магазин.

В подобных случаях разработчики либо выпускают новый релиз движка с уже вшитым патчем, либо выкладывают патч отдельно. И в том, и в другом случае, ищите их на официальной страничке обновлений: https://www.magentocommerce.com/products/downloads/magento/

Установку релиза Magento мы уже рассматривали, а в этом уроке отдельно разберем процедуру установки только патча.

Есть 3 способа установки патчей, либо с помощью SSH, через FTP (или админку на хостинге) или же заказать услуги специалиста. Некоторые хостинг-провайдеры не предоставляют доступ по SSH, но у нас есть и другой вариант, чтобы провернуть процедуру установки патча.

 

Рекомендуем перед подобными процедурами делать резервную копию всей системы и базы данных. Также, после обновлений – меняйте пароли на сайте.

 

 

 

Способ 1. Установка через SSH

Скачайте патч по этой ссылке и загрузите его в корневую директорию своего сайта на Magento и запустите соответствующую команду через консоль SSH:

Для патчей с расширением файла .sh:
sh имя_файла.sh

Пример: sh PATCH_SUPEE-1868_CE_1.7.0.2_v1.sh

Для патчей с расширением файла .patch:
patch -p0 < имя_файла.patch

После этого обновите кэш в админке в разделе Система > Управление кэшем, чтобы задействовать изменения.
Если у вас возникают трудности или вопросы при работе с SSH, смело обращайтесь в службу поддержки своего хостинга, она сможет вам в этом помочь.

 

 

Способ 2. Установить патч через FTP

Патчи – это набор файлов и инструкций, заархивированных определенными программами. В нашем случае патч содержит некие файлы, которые должны изменить/или дописать определенные файлы в движке Мадженто и запакованных в формате .sh/или .patch. Поскольку обычными (офисными) инструментами такие архивы нельзя открыть, мы попробуем найти уже разархивированные файлы. Мы нашли такие архивы, подготовленные командой MageComp, которые она выложила в свободный доступ здесь. Они подготовили файлы для патча PATCH_SUPEE-1533.sh и патча PATCH_SUPEE-5344.sh в формате .zip. Вы сможете скачать у них файлы патчей для версий Magento (1.6.xx), Magento (1.7.xx), Magento (1.8.xx — 1.9.1.0) и затем установить у себя.

Патч SUPEE-1533 изменяет следующие файлы в системе:

  • app/code/core/Mage/Adminhtml/Block/Dashboard/Graph.php
  • app/code/core/Mage/Adminhtml/controllers/DashboardController.php

 

А патч SUPEE-5344 изменяет такие файлы:

  • app/code/core/Mage/Admin/Model/Observer.php
  • app/code/core/Mage/Core/Controller/Request/Http.php
  • app/code/core/Mage/Oauth/controllers/Adminhtml/Oauth/AuthorizeController.php
  • app/code/core/Mage/XmlConnect/Model/Observer.php
  • lib/Varien/Db/Adapter/Pdo/Mysql.php

 

Все, что вам нужно – это скачать данные патчи в фомате .zip, разархивировать у себя на компьютере, а затем скопировать с заменой по FTP на хостинг. После этого обновить кэш в админке в разделе Система > Управление кэшем, чтобы задействовать изменения.

 

 

Способ 3. Заказать такую услугу у специалиста

В сети Интернет можно найти специалистов по Мадженто, которые согласятся помочь вам в этом за определенную плату.

 

Мы считаем, что оптимальный вариант установки – через SSH, но если у вас это вызывает трудности, вы сможете использовать 2 других метода.
Обязательно обезопасьте свой магазин на Мадженто!

 

Recent Posts

Ошо

Уже поздно возвращаться назад, чтобы все правильно начать, но еще не поздно устремиться вперед, чтобы… Read More

23/05/2021

Шпаргалка по временным формам глагола в английском языке

В английском языке очень сложная система времен (временные формы глагола – Verb Tenses), которая относится… Read More

17/05/2021

Теория цвета – советы для вдохновения веб-дизайнерам

Вы когда-нибудь задумывались о том, как веб-дизайнеры подбирают идеальное сочетание цветов? Интересовались тем, какие цвета… Read More

30/04/2021

Как стать фрилансером – действенные советы

Фриланс – это возможность спокойно и размеренно работать дома, не обращая внимания на окружающее пространство,… Read More

27/04/2021

Самые красивые каньоны со всего мира (часть 1/2)

На протяжении многих сотен тысяч, или даже миллионов лет, быстрое течение рек подтачивало и вымывало… Read More

27/04/2021

Уильям Шекспир

Грехи других судить вы так усердно рветесь, начните со своих и до чужих не доберетесь… Read More

18/04/2021