Si recientemente has recibido algún correo de Magento con el asunto «Critical Security Update» o al entrar en tu panel de administración has visto alguno de estos mensajes:
Urgent: Immediately install Magento critical security patches
Second Reminder: Download and install Magento critical security patches now.
Critical Reminder: Download and install Magento security patches. Download now.
Deberías implementar la actualización de los parches de seguridad SUPEE-5344 y SUPEE-1533 para mantener tu tienda a salvo de ataques.
¿En que consiste la amenaza?
En Enero de 2015 los investigadores de Checkpoint Software Technologies alertaron a Magento de que habían descubierto una vulnerabilidad en el core del código de Magento que podría poner en compromiso su seguridad.
Esta vulnerabilidad en el código podría permitir a posibles atacantes ejecutar código PHP en el servidor donde resida la tienda. Mediante esta acción el atacante podría tomar el control sobre la tienda y su base de datos permitiendo, entre otras cosas, el robo de información de tarjetas de crédito y otros datos personales de la base de datos de clientes de la tienda.
Por eso es de vital importancia para no comprometer la seguridad de la tienda la implementación de los parches de seguridad para atajar cuanto antes esta vulnerabilidad.
Parches de Seguridad de Magento SUPEE-5344 y SUPEE-1533
El equipo de Magento ha lanzado dos parches de seguridad para que debes instalar cuanto antes.
Estos parches están disponibles en la página de descargas de Magento en la sección Magento Community Patches .
En la página debes descargarte los parches SUPEE-1533 y SUPEE-5344 correspondientes a la versión de tu tienda de Magento . Puedes ver tu versión de Magento en la parte inferior del panel de control de la tienda.
Como conseguir lo parches de seguridad.
Antes de todo es aconsejable que compruebes si tu sistema está comprometido desde la página https://shoplift.byte.nl/ ya que las versiones más recientes de Magento como la 1.9.1.0 no tienen esa vulnerabilidad, pero aun así no está de más hacer la prueba.
Si al hacer la prueba te sale la siguiente imagen, es que necesitas aplicar los parches.
Pasos a realizar para instalar los parches de seguridad de Magento:
- Descárgate los ficheros .sh correspondientes a la versión de tu instalación de Magento.
- Subir los 2 ficheros al raiz de la instalación de tu tienda.
- Conectarte mediante SSH a tu servidor, ir a la carpeta raíz donde subiste los archivos y ejecutar la siguiente orden para ejecutar los dos parches: sh <nombre del parche>.sh
- Si todo va bien debería salir el texto : Patch was applied/reverted succesfully.
- Una vez instalados los parches habría que borrar la caché de Magento y eliminar los archivos de los parches.
- Si todo ha ido bien, al volver a comprobar en https://shoplift.byte.nl debería salir este aviso:
Además de estas actualizaciones de seguridad, también es recomendable cambiar la ruta por defecto al panel de seguridad, es decir, el admin de www.tutienda.com/admin ya que es lo primero que van a buscar los atacantes.
Como he comentado, para poder ejecutar esas implementaciones es necesario tener acceso mediante SSH(Secure Shell) lo que pasa que si tienes un servidor compartido seguramente no tengas este tipo de acceso. Normalmente no suelen dar acceso por razones de seguridad ya que acceder al servidor de esa manera si no se sabe lo que hace puede llevar a crear más problemas.
En ese caso tienes las siguientes opciones:
- Pedir al soporte de tu hosting que hagan ellos esta actualización.
- Contratar a alguien que lo haga.