Parches de Seguridad Magento  SUPEE-5344 y SUPEE-1533

Si recientemente has recibido algún correo de Magento con el asunto “Critical Security Update” o al entrar en tu panel de administración has visto alguno de estos mensajes:

Urgent: Immediately install Magento critical security patches

Second Reminder: Download and install Magento critical security patches now.

Critical Reminder: Download and install Magento security patches. Download now.

Deberías implementar la actualización de los parches de seguridad SUPEE-5344 y SUPEE-1533 para mantener tu tienda a salvo de ataques.

¿En que consiste la amenaza?

En Enero de 2015 los investigadores de Checkpoint Software Technologies alertaron a Magento de que habían descubierto una vulnerabilidad en el core del código de Magento que podría poner en compromiso su seguridad.

Esta vulnerabilidad en el código podría permitir a posibles atacantes ejecutar código PHP en el servidor donde resida la tienda. Mediante esta acción el atacante podría tomar el control sobre la tienda y su base de datos permitiendo, entre otras cosas, el robo de información de tarjetas de crédito y otros datos personales de la base de datos de clientes de la tienda.

Por eso es de vital importancia para no comprometer la seguridad de la tienda la implementación de los parches de seguridad para atajar cuanto antes esta vulnerabilidad.

Parches de Seguridad de Magento SUPEE-5344 y SUPEE-1533

El equipo de Magento ha lanzado dos parches de seguridad para que debes instalar cuanto antes.

Estos parches están disponibles en la página de descargas de Magento en la sección Magento Community Patches .

En la página debes descargarte los parches SUPEE-1533 y SUPEE-5344 correspondientes a la versión de tu tienda de Magento . Puedes ver tu versión de Magento en la parte inferior del panel de control de la tienda.

Como conseguir lo parches de seguridad.

Antes de todo es aconsejable que compruebes si tu sistema está comprometido desde la página https://shoplift.byte.nl/ ya que las versiones más recientes de Magento como la 1.9.1.0 no tienen esa vulnerabilidad, pero aun así no está de más hacer la prueba.

Si al hacer la prueba te sale la siguiente imagen, es que necesitas aplicar los parches.

shoplift-bug-warning

Pasos a realizar para instalar los parches de seguridad de Magento:

  1. Descárgate los ficheros .sh correspondientes a la versión de tu instalación de Magento.
  2. Subir los 2 ficheros al raiz de la instalación de tu tienda.
  3. Conectarte mediante SSH a tu servidor, ir a la carpeta raíz donde subiste los archivos y ejecutar la siguiente orden para ejecutar los dos parches: sh <nombre del parche>.sh
  4. Si todo va bien debería salir el texto : Patch was applied/reverted succesfully.
  5. Una vez instalados los parches habría que borrar la caché de Magento y eliminar los archivos de los parches.
  6. Si todo ha ido bien, al volver a comprobar en https://shoplift.byte.nl debería salir este aviso:

shoplift-bug-safe

Además de estas actualizaciones de seguridad, también es recomendable cambiar la ruta por defecto al panel de seguridad, es decir, el admin de www.tutienda.com/admin ya que es lo primero que van a buscar los atacantes.

Como he comentado, para poder ejecutar esas implementaciones es necesario tener acceso mediante SSH(Secure Shell) lo que pasa que si tienes un servidor compartido seguramente no tengas este tipo de acceso. Normalmente no suelen dar acceso por razones de seguridad ya que acceder al servidor de esa manera si no se sabe lo que hace puede llevar a crear más problemas.

En ese caso tienes las siguientes opciones:

  1. Pedir al soporte de tu hosting que hagan ellos esta actualización.
  2. Contratar a alguien que lo haga.
Opt In Image
Suscríbete al boletín
Convierte tu tienda online en un negocio rentable.

Si te ha gustado lo que has leído suscríbete y recibirás en tu correo más trucos e ideas para sacarle el máximo provecho a tu tienda online.

Author:

CEO de Magestio

carlos avolar on mayo 6, 2015 AT 11 am

Muchas Gracias!!!

Luis Chavez on mayo 11, 2015 AT 10 pm

Hola, yo tengo una duda, tengo servidor compartido y mi proveedor de hosting me nego el acceso via ssh, segun por que el magento se actualiza solo, la duda que yo tengo es como saber si ya estan actualizados dichos parches de seguridad, ya que en el panel de control de magento me aparece el aviso de que debo actualizarlos, pero en el sitio donde me indicas que revisemos si es seguro nuestra tienda, me aparece que si es seguro, otro detalle es que mi panel de control no esta en la ruta convencional, (www.midominio.com.mx/admin), si no en una ruta alterna (www.midominio.com.mx/rutaalterna) y no se si influya eso en el analisis de seguridad que ejecuta dicho sitio espero sus comentarios saludos =D

    Nacho on mayo 12, 2015 AT 09 am

    Hola Luis, si en la página de comprobación has puesto tu “rutaalterna” es correcto aunque sea diferente. Si no encontrase el administrador aparecería un aviso de “UNKNOWN”.

    Si al comprobar te dice que está correcto entonces está bién. El aviso de Magento sigue saliendo porque eso es simplemente un aviso que llega al sistema de notificaciones de Magento, pero es independiente de la solución del problema. Para no volver a verlo lo único que tienes que hacer es marcar esa notificación como que ya ha sido leída o bien eliminarla.