Уязвимость в CMS Magento – как установить патч

Magento считается самой популярной CMS для интернет-магазинов, чем и привлекает внимание злоумышленников. Как и в любой другой CMS иногда находятся бреши в безопасности, что сразу привлекает к себе внимание недобросовестных хакеров. А разработчики Magento выпускают патчи, когда находят любую уязвимость в системе, чтобы повысить ее безопасность.

Так, недавно обнаружился эксплойт, который проворачивает единственную функцию: создает фальшивый аккаунт админа в базе данных Magento.
Команда Magento уже выпускала недавно патчи, которые борются с такими угрозами, но, как оказалось, не все владельцы интернет-магазинов на Мадженто установили их себе. Хотя 2 последних патча были выпущены еще несколько месяцев назад (26 ноября 2014 и 9 февраля 2015), большая масса магазинов не поставила их себе. По разным причинам: то ли не знали, то ли не умели. С первой причиной разработчики борются отправкой «страшных» напоминаний в админпанели сайтов (как на рисунке).

Напоминание Мадженто об обновлении

 

А со второй причиной мы попытаемся справиться в этом уроке. В любом случае, настоятельно рекомендуется устанавливать такие патчи как можно скорее, чтобы обезопасить свой интернет-магазин.

В подобных случаях разработчики либо выпускают новый релиз движка с уже вшитым патчем, либо выкладывают патч отдельно. И в том, и в другом случае, ищите их на официальной страничке обновлений: https://www.magentocommerce.com/products/downloads/magento/

Установку релиза Magento мы уже рассматривали, а в этом уроке отдельно разберем процедуру установки только патча.

Есть 3 способа установки патчей, либо с помощью SSH, через FTP (или админку на хостинге) или же заказать услуги специалиста. Некоторые хостинг-провайдеры не предоставляют доступ по SSH, но у нас есть и другой вариант, чтобы провернуть процедуру установки патча.

 

Рекомендуем перед подобными процедурами делать резервную копию всей системы и базы данных. Также, после обновлений – меняйте пароли на сайте.

 

 

 

Способ 1. Установка через SSH

Скачайте патч по этой ссылке и загрузите его в корневую директорию своего сайта на Magento и запустите соответствующую команду через консоль SSH:

Для патчей с расширением файла .sh:
sh имя_файла.sh

Пример: sh PATCH_SUPEE-1868_CE_1.7.0.2_v1.sh

Для патчей с расширением файла .patch:
patch -p0 < имя_файла.patch

После этого обновите кэш в админке в разделе Система > Управление кэшем, чтобы задействовать изменения.
Если у вас возникают трудности или вопросы при работе с SSH, смело обращайтесь в службу поддержки своего хостинга, она сможет вам в этом помочь.

 

 

Способ 2. Установить патч через FTP

Патчи – это набор файлов и инструкций, заархивированных определенными программами. В нашем случае патч содержит некие файлы, которые должны изменить/или дописать определенные файлы в движке Мадженто и запакованных в формате .sh/или .patch. Поскольку обычными (офисными) инструментами такие архивы нельзя открыть, мы попробуем найти уже разархивированные файлы. Мы нашли такие архивы, подготовленные командой MageComp, которые она выложила в свободный доступ здесь. Они подготовили файлы для патча PATCH_SUPEE-1533.sh и патча PATCH_SUPEE-5344.sh в формате .zip. Вы сможете скачать у них файлы патчей для версий Magento (1.6.xx), Magento (1.7.xx), Magento (1.8.xx — 1.9.1.0) и затем установить у себя.

Патч SUPEE-1533 изменяет следующие файлы в системе:

  • app/code/core/Mage/Adminhtml/Block/Dashboard/Graph.php
  • app/code/core/Mage/Adminhtml/controllers/DashboardController.php

 

А патч SUPEE-5344 изменяет такие файлы:

  • app/code/core/Mage/Admin/Model/Observer.php
  • app/code/core/Mage/Core/Controller/Request/Http.php
  • app/code/core/Mage/Oauth/controllers/Adminhtml/Oauth/AuthorizeController.php
  • app/code/core/Mage/XmlConnect/Model/Observer.php
  • lib/Varien/Db/Adapter/Pdo/Mysql.php

 

Все, что вам нужно – это скачать данные патчи в фомате .zip, разархивировать у себя на компьютере, а затем скопировать с заменой по FTP на хостинг. После этого обновить кэш в админке в разделе Система > Управление кэшем, чтобы задействовать изменения.

 

 

Способ 3. Заказать такую услугу у специалиста

В сети Интернет можно найти специалистов по Мадженто, которые согласятся помочь вам в этом за определенную плату.

 

Мы считаем, что оптимальный вариант установки – через SSH, но если у вас это вызывает трудности, вы сможете использовать 2 других метода.
Обязательно обезопасьте свой магазин на Мадженто!

 

This post was last modified on 28/08/2020 10:53

View Comments

  • APPSEC-1270 - просмотр заказов для гостей имел уязвимость защитного кода. В свою очередь это может спровоцировать перебор заказов, и как результат вся информация о деятельности магазина может попасть в сторонние руки.

  • Являются ли эти патчи кумулятивными? Нужно ли устанавливать все патчи в порядке очередности или достаточно установить последний?

    • В основном такие патчи содержат все предыдущие наработки. Но, все же, рекомендую предварительно читать описание каждого патча во избежание ошибок.

Последние посты

Робин Шарма

Действуй так, словно неудача просто невозможна, а успех обеспечен Робин Шарма  

13/09/2024

Уроки SQL — как найти повторяющиеся записи (дубли) в базе данных

Во-первых, чтобы не допустить подобных ситуаций, вам заранее нужно присваивать уникальные значения в таблицах. Так…

08/09/2024

Ремонт или покупка новой шины? Варианты ремонта резины

Заплатка на шине, как правило, - это простой и дешевый вариант по сравнению с покупкой…

03/09/2024

Гигиена кота: основные правила и рекомендации ветеринаров

Коты относятся к чистоплотным животным — приблизительно половину своей жизни они тратят на «гигиенические процедуры».…

27/08/2024

Брюс Ли

Дисциплина — это не ограничение свободы. Это отсечение всего лишнего Брюс Ли  

25/08/2024

Сборные быстровозводимые дома – основное, что нужно знать

Что-то готовое к употреблению, как пицца или лапша, уже давно заняло почетное место в нашей…

23/08/2024