Sicurezza Magento: il tuo E-commerce è sicuro? Testalo qui con questo tool

Magento, sulla sua pagina ufficiale, ha rilasciato un comunicato legato ad attacchi sulla sicurezza, che potrebbero verificarsi. E' molto importante eseguire correttamente le patch per la corretta salvaguardia della sicurezza degli Store Magento. Scopri come.

magento sicuro
No ratings yet.

Avviso di sicurezza per tutte le versioni di Magento Enterprise Edition e Community Edition

Magento, sulla sua pagina ufficiale, ha rilasciato un comunicato legato ad attacchi sulla sicurezza, che potrebbero verificarsi.

In particolare, già da Gennaio 2015, la Check Point Technologies ha segnalato la presenza di una vulnerabilità nell’esecuzione di codice da remoto (RCE), anche detto,  bug “Shoplift“.

Shoplift è un bug di Magento che consente a tutti gli hackers di prendere il pieno possesso dello shop.
Magento ha rilasciato per questo problema il 9 Febbraio 2015  delle patches specifiche , da scaricare qui.

Questo problema colpisce sia Magento Enterprise che Magento Community Edition, è quindi molto importante eseguire correttamente le patch per la corretta salvaguardia della sicurezza degli Store Magento.

Il tuo sito Magento è sicuro? Scoprilo ora!

Dopo la segnalazione di queste possibili carenze nella sicurezza di Magento, è stato rilasciato un tool online per testare se un sito è a rischio o meno.

Puoi trovare il tool a questa pagina:

Tool sicurezza Magento

Come puoi vedere è molto semplice utilizzarlo, basta inserire il link del tuo sito web e il percorso dell’admin.

Scopri se il tuo E-commerce è sicuro, con il tool di Magento:

Testa il tuo Sito

Cosa fare se il tuo sito risulta non sicuro

Se il tuo E-Commerce non è stato aggiornato con le patch di sicurezza, ti consigliamo di farlo al più presto per risolvere il problema.

Tutte le patch per Magento Enterprise Edition si possono trovare sul portale di supporto Magento, mentre per la Community Edition, puoi trovarle nella pagina Download di Magento Community Editon.

Patches per Enterprise Edition

  • Magento Enterprise Edition 1.14.2.0 —> se hai questa versione, allora il tuo E-Commerce è protetto, poiché entrambe le patch sono state integrate in questa build.
  • Magento Enterprise Edition 1.14.1.0 —> in questo caso dovrai installare solo la patch SUPEE-5344, poichè la SUPEE-1533 è già stata integrata-
  • Da Magento Enterprise Edition 1.13.0.0 a Magento Enterprise Edition 1.14.0.1 —> dovrai installare entrambe le patch SUPEE-5344 e SUPEE-1533.
  • Magento Enterprise Edition 1.12.0.2 e versioni precedenti —> dovrai installare la patch SUPEE-1533 e in più la patch appropriata alla vostra versione:
    • Magento Enterprise Edition 1.12.0.x —>PATCH_SUPEE-5345_1.12.0.2_v1.sh
    • Magento Enterprise Edition 1.11.1.0 thru EE 1.11.2.0: PATCH_SUPEE-5346_EE_1.11.1.0_v1.sh
    • Magento Enterprise Edition 1.11.0.x: PATCH_SUPEE-5341_EE_1.11.0.0_v1.sh
    • Magento Enterprise Edition 1.10.1.x: PATCH_SUPEE-5390_EE_1.10.1.0_v1.sh
    • Magento Enterprise Edition 1.7.0.0 thru 1.10.0.2: PATCH_SUPEE-5388_EE_1.8.0.0_v1.sh

Patches per Community Edition

I segni di un sito compromesso

Per determinare se il tuo sito potrebbe essere potenzialmente compromesso, verifica la seguente check-list:

  • Controlla se ci sono account sospetti nella lista degli amministratori, come ad esempio “vpwq” o “defaultmanager“, ma in generale qualsiasi account sconosciuto è sospetto.
  • Controlla se ci sono file sospetti creati recentemente.
  • Controlla se nei log sono state effetuate delle richieste del tipo POST index.php/admin/Cms_Wysiwyg/directive/index/ da indirizzi IP sconosciuti.
  • Fai girare un tool per la la ricerca di un trojan
  • Verifica la presenza di permessi negati
  • Verifica la presenza di file nascosti
  • Controlla la presenza di porte sospette (command:netsta-nap | grep LISTEN)
  • Controlla la presenza di reindirizzamenti delle porte al livello del Sistema Operativo (Comando di esempio: iptables-L-n)

Se hai il sospetto che il sito sia compromesso, contattaci.

Fai un controllo via API e testa la sicurezza Magento

Se hai diversi siti E-commerce da controllare o semplicemente preferisci utilizzare le tue API, manda una richiesta tipo questa:

$ curl https://magento.com/security-patch-check/{domain}/{admin path}

Opzionalmente puoi forzare le API per controllare in modalità https:

$ curl https://magento.com/security-patch-check/{domain}/{admin path}/https

In fine, se il tuo percorso di Admin è su più livelli, sostituisci gli slash con i punti interrogativi, come questo:

# /my/long/admin/path becomes:
$ curl https://magento.com/security-patch-check/{domain}/my\!long\!admin\!path

Altri link utili

Se pensi che il tuo Ecommerce, possa avere dei problemi di sicurezza, contattaci e risolveremo il problema.

Contattaci

Ti è piaciuto questo articolo? Votalo!

Vuoi imparare meglio Magento?

Abbiamo preparato per te un Video corso di oltre 20h di formazione: dall'installazione alla configurazione. Dalla gestione prodotti, alla SEO on page, marketing e molto altro ancora!

Impara in fretta come creare e gestire un e-commerce con Magento, con l'esperienza degli esperti Magento.

Scopri di più

Magento è un marchio registrato di Magento Inc. MagenTiamo è un progetto indipendente non affiliato direttamente dal progetto Magento o chi ne detiene il trademark.