Magento come ogni altro CMS open source è sottoposto ogni giorno a controlli e aggiornamenti. Negli ultimi periodi sono state rilevate alcune vulnerabilità di sicurezza prontamente risolte con la release di patch specifiche per la risoluzione di questi problemi.
Con questa pagina informativa ti vogliamo fornire una risorsa completa e dettagliata sulle patch di sicurezza, dare spunto per risolvere alcuni problemi e fornire strumenti e chiarimenti utili.
Abbiamo pubblicato diversi articoli sulle varie patch rilasciate e continueremo a farlo per informarvi sulle novità e sulle problematiche di Magento.
In questa pagina abbiamo voluto fare un riepilogo generale ed ordinato, realizzato per fare in modo che tu possa avere le idee chiare su ciò che sia necessario fare per la salvaguardia e la sicurezza del tuo store, fornendoti tutti gli strumenti necessari.
[zilla_share]
Risorse Utili per la Sicurezza di Magento
In questa pagina troverai tutte le informazioni necessarie per tenere il tuo Magento al sicuro.
1) Magento Security Center
Per restare aggiornato sulle ultime novità di sicurezza direttamente da Magento, ti consigliamo di iscriverti alla newsletter ufficiale di Magento relativa alla sicurezza. Ogni qualvolta verrà rilasciato un aggiornamento di sicurezza, Magento ti invierà un’email con i dettagli delle patch di sicurezza realizzate e le modalità di installazione.
http://magento.com/security
2) Magento Patch Download
Puoi scaricare le patches direttamente dal sito Magento, nella pagina download, effettuando il login con il tuo account e selezionando la patch specifica. Per scaricarle, vai sulla pagina Download di Magento, dove troverai la sezione con le Patch:
3) Magento Patch Finder by Fabrizio Balliano
Per sapere quali patches sono necessarie per il tuo Magento, ci sono diversi tool. Il migliore è sicuramente quello realizzato dal nostro connazionale (Italians do it better!) Fabrizio Balliano, che ti permette di selezionare la versione del tuo Magento e di avere, in base alla versione scelta, una lista di tutte le patches da installare sul tuo store.
L’unicità di questo tool sta nel fatto che è sempre aggiornato e prende le informazioni direttamente dal sito di Magento.
In questo modo saprai sempre quali patches dovrai installare per la tua versione. Per comodità abbiamo integrato la pagina in un iframe così potrai controllare subito quali patch sono necessarie per la tua versione di Magento.
Link diretto alla pagina: http://fabrizioballiano.net/magento-patches/
Copyright Fabrizio Balliano. Puoi scrivergli “grazie” su twitter https://twitter.com/fballiano @fballiano
4) Tabella comparativa Patches di Sicurezza
In alternativa al tool di Fabrizio Balliano, potrai controllare in modo più schematico su questo file excel condiviso pubblicamente su google drive, tutte le versioni e le patch da installare, sia per Magento Community Edition, sia per la versione Enterprise.
Link diretto
https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M/edit#gid=0
5) Installare le patch di sicurezza
Per installare le patches di sicurezza, una volta individuate, puoi procedere in due modi:
- Tramite Magento Connect, aggiornando Magento all’ultima versione (consigliato solo nel caso in cui dobbiate aggiornare dalla 1.9.0.0 alla 1.9.2.1); in questo caso fate molta attenzione soprattutto se non avete molta esperienza.
- Installando le patches tramite SSH. Trovate qui una guida completa su come fare.
Qualora non abbiate le competenze e gli accessi necessari per effettuare questo aggiornamento, affidatevi a dei professionisti. Se il vostro hosting condiviso non ha gli accessi SSH, chiedete al vostro provider di effettuare l’aggiornamento per voi.
Vi consiglio sempre e comunque di effettuare dei backup di sicurezza del database e dei files prima di effettuare qualsiasi tipo di operazione sul vostro store.
6) Testare la sicurezza di Magento
Una volta installate le patches di sicurezza, come facciamo a verificare che siano state applicate correttamente? Oltre al messaggio di successo che viene fornito nella shell, potete provare il tool Magento Security patch Tool by Shoplift
Link diretto: http://magento.com/security-patch
Oltre ad inserire l’url di admin del vostro store, potete anche fare il controllo via ssh utilizzando i comandi che seguono:
$ curl https://magento.com/security-patch-check/{domain}/{admin path}
Oppure puoi fare la richiesta in https:
$ curl https://magento.com/security-patch-check/{domain}/{admin path}/https
Se il tuo percorso di admin invece non si trova nidificato in piu sottocartelle, sostituisci gli slash con punto esclamativo in questo modo::
# /my/long/admin/path diventa: $ curl https://magento.com/security-patch-check/{domain}/my\!long\!admin\!path
Lista articoli scritti da Magentiamo sulla sicurezza di Magento
Se hai bisogno di ulteriori informazioni sulle ultime patch rilasciate, oppure vuoi sapere come migliorare la sicurezza del tuo magento, abbiamo una lista di articoli pubblicati sul nostro blog che possono esserti utili.
- Come installare le patch di sicurezza in Magento
- Sicurezza Magento: nuova patch rilasciata – SUPEE 6482
- Sicurezza Magento: nuova patch rilasciata per il tuo E-Commerce – SUPEE-6285
- Sicurezza Magento: Nuova Patch da installare sul tuo E-commerce – SUPEE – 5994
- IMPORTANTE Aggiornamento di sicurezza Magento: scarica e installa le patch subito.
- Sicurezza Magento: il tuo E-commerce è sicuro? Testalo qui con questo tool
- Sicurezza Magento: un’utile check list per proteggere il tuo E-Commerce
[Tweet “Sicurezza Magento – Guida Completa e Risorse utili @magentiamo #magento”]
Se hai bisogno di assistenza per l’analisi e l’installazione delle patch per la messa in sicurezza del tuo Magento, contattaci!