Gần đây, Magento đã được đưa tin do thường xuyên xảy ra các cuộc tấn công khét tiếng vào hệ thống bảo mật thanh toán của nó. Một trường hợp gần đây của cuộc tấn công Magento đã chứng kiến những kẻ cào thẻ tín dụng nhắm vào hệ thống bảo mật thanh toán của các cửa hàng Magento để lấy cắp thông tin thẻ tín dụng tối quan trọng. Do đó, Magento đã cảnh giác với các lỗ hổng trong hệ thống của mình và trong một nỗ lực thận trọng, thường xuyên phát hành các bản vá bảo mật như các biện pháp phòng ngừa chống lại bất kỳ cuộc tấn công nào trong tương lai.
Mới nhất, Magento đã phát hành một bản vá bảo mật có tên mã là “SUPEE 9652” để giải quyết lỗ hổng nghiêm trọng trong thành phần e-mail của Zend framework 1 và 2. Lỗ hổng bảo mật được coi là nghiêm trọng với điểm mức độ nghiêm trọng là 9,8, khá cao.
Bản vá SUPEE 9652 có sẵn cho Phiên bản doanh nghiệp 1.9.00 - 1.14.3.1 và Phiên bản cộng đồng 1.5.0.11 - 1.9.3.1. Nó chủ yếu giải quyết vấn đề thực thi mã từ xa bằng cách sử dụng lỗ hổng thư, theo đó kẻ tấn công khai thác lỗ hổng để thực thi một đoạn mã độc hại trong hệ thống Magento, do đó vượt qua các đặc quyền của người dùng.
Làm cách nào để biết liệu tôi có dễ bị tổn thương hay không?
Mặc dù lỗ hổng bảo mật đã được coi là nghiêm trọng, nhưng cho đến nay chỉ có một số hệ thống bị ảnh hưởng. Điều này là do để bị ảnh hưởng bởi lỗ hổng bảo mật, quá trình cài đặt cần phải:
- Chọn và sử dụng Sendmail làm tùy chọn vận chuyển thư: Nếu máy chủ của bạn sử dụng Sendmail làm tác nhân vận chuyển thư, trong trường hợp đó, trang Magento dễ bị tấn công thực thi mã từ xa
- Có cài đặt cấu hình không phải mặc định :Nếu "Đặt đường dẫn trả lại" được đặt thành "Có", thì cửa hàng Magento của bạn rất dễ bị tấn công.
Tôi có thể tự bảo vệ mình bằng cách nào?
Bản vá bảo mật Magento mới phát hành SUPEE-9652 đã được giải cứu. Ngay sau khi Magento phát hành bản vá mới, bạn nên cài đặt bản vá này càng sớm càng tốt. Hơn nữa, bạn cũng nên xem lại cài đặt gửi thư của mình. Điều hướng đến cài đặt hệ thống được sử dụng để kiểm soát địa chỉ "Trả lời" cho các email được gửi từ cửa hàng Magento của bạn:
- Trong trường hợp của Magento 1: Điều hướng từ Hệ thống-> Cấu hình-> Nâng cao-> Hệ thống-> Cài đặt gửi thư-> Đặt đường dẫn trả lại
- Trong trường hợp của Magento 2: Điều hướng từ Cửa hàng-> Cấu hình-> Nâng cao-> Hệ thống-> Cài đặt gửi thư-> Đặt đường dẫn trả lại
Trong cả hai trường hợp trên, hãy chuyển cài đặt “Đặt đường dẫn trả lại” thành “Không” .
Để đảm bảo an ninh cho cửa hàng Magento của bạn, hãy cài đặt tất cả các bản vá do Magento phát hành ngay sau khi chúng được phát hành. Sự chậm trễ trong việc thực thi các biện pháp ngăn chặn có thể tạo cơ hội cho kẻ tấn công khai thác lỗ hổng bảo mật ngay sau khi họ biết về nó. Việc kiểm tra kỹ thuật và bảo mật định kỳ đối với cửa hàng của bạn có thể giúp bảo mật lâu dài cho cửa hàng Magento của bạn và cập nhật cho bạn các bản vá bảo mật mới nhất.