Magento ha recentemente comunicato che c’è un potenziale rischio di attacco per i siti che usano Nginx e Magmi.
Di seguito viene riportata la traduzione della comunicazione fatta dal team di Magento il 21 ottobre 2015.
Sono state individuate 2 potenzionali vulnerabilità che potrebbero interessare il tuo sito.
Configurazione errata dei siti in Magento che usano Nginx
Byte.nl recentemente ha riportato che ci sono delle configurazione sbagliate nei siti Magento che usano Nginx e che sono vulnerabili. Questo permetterebbe l’accesso esterno ai file di cache di Magento. Questi file hanno nomi abbastanza prevedibili e potrebbero contenere informazioni sensibili, come anche le password per il database di Magento.
Queste informazioni potrebbero essere usate per accedere all’installazione e personalizzare le informazioni.
Per evitare questi problemi bisogna assicurarsi che le configurazioni impostate proteggano le directories ed i file efficacemente. Una delle migliori cose da fare in questo caso è di configurare correttamente il server.
Puoi trovare un esempio di una corretta configurazione qui:
https://gist.github.com/gwillem/cd5ae6845fa33aa0d481.
Se questo è un problema che ti riguarda ti raccomandiamo di aggiornare le configurazioni del server che appena possibile per proteggere efficacemente il tuo Magento.
Se non sai se il tuo sito è a rischio, o hai bisogno di un Hosting Ottimizzato per Magento, contatta il nostro team di Esperti.
Il tool per l’import di dati Magmi non è sicuro
Abbiamo inoltre riscontrato una mancanza di protezione per accessi esterni nei siti che usano il tool per l’import di dati Magmi.
Questo tool può essere usato per ottenere l’accesso all’istallazione di Magento ed è importantissimo che si prendano provvedimenti immediatamente rimuovendolo dal sito oppure limitando l’acceso al sito attraverso l’indirizzo IP o con una password.
Risorse per la sicurezza
Per controllare se il tuo Magento è sicuro al 100% o c’è bisogno di intervenire, lo puoi fare con questo tool: http://magereport.com
Se vuoi saperne di più sulla sicurezza di Magento puoi trovare molte altre risorse e tutti gli ultimi aggiornamenti su questo tema in questa pagina.
Se non sai se il tuo sito è a rischio, o hai bisogno di un Hosting Ottimizzato per Magento, contatta il nostro team di Esperti.