Avviso di sicurezza per tutte le versioni di Magento Enterprise Edition e Community Edition
Magento, sulla sua pagina ufficiale, ha rilasciato un comunicato legato ad attacchi sulla sicurezza, che potrebbero verificarsi.
In particolare, già da Gennaio 2015, la Check Point Technologies ha segnalato la presenza di una vulnerabilità nell’esecuzione di codice da remoto (RCE), anche detto, bug “Shoplift“.
Shoplift è un bug di Magento che consente a tutti gli hackers di prendere il pieno possesso dello shop.
Magento ha rilasciato per questo problema il 9 Febbraio 2015 delle patches specifiche , da scaricare qui.
Questo problema colpisce sia Magento Enterprise che Magento Community Edition, è quindi molto importante eseguire correttamente le patch per la corretta salvaguardia della sicurezza degli Store Magento.
Il tuo sito Magento è sicuro? Scoprilo ora!
Dopo la segnalazione di queste possibili carenze nella sicurezza di Magento, è stato rilasciato un tool online per testare se un sito è a rischio o meno.
Puoi trovare il tool a questa pagina:
Come puoi vedere è molto semplice utilizzarlo, basta inserire il link del tuo sito web e il percorso dell’admin.
Scopri se il tuo E-commerce è sicuro, con il tool di Magento:
Cosa fare se il tuo sito risulta non sicuro
Se il tuo E-Commerce non è stato aggiornato con le patch di sicurezza, ti consigliamo di farlo al più presto per risolvere il problema.
Tutte le patch per Magento Enterprise Edition si possono trovare sul portale di supporto Magento, mentre per la Community Edition, puoi trovarle nella pagina Download di Magento Community Editon.
Patches per Enterprise Edition
- Magento Enterprise Edition 1.14.2.0 —> se hai questa versione, allora il tuo E-Commerce è protetto, poiché entrambe le patch sono state integrate in questa build.
- Magento Enterprise Edition 1.14.1.0 —> in questo caso dovrai installare solo la patch SUPEE-5344, poichè la SUPEE-1533 è già stata integrata-
- Da Magento Enterprise Edition 1.13.0.0 a Magento Enterprise Edition 1.14.0.1 —> dovrai installare entrambe le patch SUPEE-5344 e SUPEE-1533.
- Magento Enterprise Edition 1.12.0.2 e versioni precedenti —> dovrai installare la patch SUPEE-1533 e in più la patch appropriata alla vostra versione:
- Magento Enterprise Edition 1.12.0.x —>PATCH_SUPEE-5345_1.12.0.2_v1.sh
- Magento Enterprise Edition 1.11.1.0 thru EE 1.11.2.0: PATCH_SUPEE-5346_EE_1.11.1.0_v1.sh
- Magento Enterprise Edition 1.11.0.x: PATCH_SUPEE-5341_EE_1.11.0.0_v1.sh
- Magento Enterprise Edition 1.10.1.x: PATCH_SUPEE-5390_EE_1.10.1.0_v1.sh
- Magento Enterprise Edition 1.7.0.0 thru 1.10.0.2: PATCH_SUPEE-5388_EE_1.8.0.0_v1.sh
Patches per Community Edition
- Le Patch per le versioni 1.4-1.9.1, sono disponibili nella Pagina Download di Magento. Il 15 Maggio 2015 è stata rilasciata una nuova patch di sicurezza–>Sicurezza Magento: nuova Patch da installare sul tuo E-Commerce – SUPEE – 5994
- Per versioni precedenti a Magento Community Edition 1.3, puoi trovare informazioni qui.
- Attenzione: ricordati che per accedere al server e applicare le patch ufficiali, hai bisogno di un accesso SSH. Se non possiedi un accesso SSH, leggi qui.
I segni di un sito compromesso
Per determinare se il tuo sito potrebbe essere potenzialmente compromesso, verifica la seguente check-list:
- Controlla se ci sono account sospetti nella lista degli amministratori, come ad esempio “vpwq” o “defaultmanager“, ma in generale qualsiasi account sconosciuto è sospetto.
- Controlla se ci sono file sospetti creati recentemente.
- Controlla se nei log sono state effetuate delle richieste del tipo POST index.php/admin/Cms_Wysiwyg/directive/index/ da indirizzi IP sconosciuti.
- Fai girare un tool per la la ricerca di un trojan
- Verifica la presenza di permessi negati
- Verifica la presenza di file nascosti
- Controlla la presenza di porte sospette (command:netsta-nap | grep LISTEN)
- Controlla la presenza di reindirizzamenti delle porte al livello del Sistema Operativo (Comando di esempio: iptables-L-n)
Se hai il sospetto che il sito sia compromesso, contattaci.
Fai un controllo via API e testa la sicurezza Magento
Se hai diversi siti E-commerce da controllare o semplicemente preferisci utilizzare le tue API, manda una richiesta tipo questa:
$ curl https://magento.com/security-patch-check/{domain}/{admin path}
Opzionalmente puoi forzare le API per controllare in modalità https:
$ curl https://magento.com/security-patch-check/{domain}/{admin path}/https
In fine, se il tuo percorso di Admin è su più livelli, sostituisci gli slash con i punti interrogativi, come questo:
# /my/long/admin/path becomes: $ curl https://magento.com/security-patch-check/{domain}/my\!long\!admin\!path
Altri link utili
- Se vuoi scoprire come aumentare la sicurezza del tuo E-commerce Magento, leggi anche Sicurezza Magento: un’utile check-list per proteggere il tuo E-Commerce.
- Forse ti può anche interessare anche: Aggiornamento di sicurezza Magento: scarica le patch
Se pensi che il tuo Ecommerce, possa avere dei problemi di sicurezza, contattaci e risolveremo il problema.