Shoplift – это новая страшная для пользователей Magento угроза. Новый баг позволяет хакерам получать полный доступ к магазинам электронной коммерции (e-commerce). Угрозу выявила комманда Check Point, за что ее участникам стоит выразить особую благодарность. К счастью, проблему можно пофиксить при помощи патча SUPEE-5344. Так как большинство Magento магазинов все еще остаются уязвимыми, мы настоятельно рекомендуем вам ознакомиться с содержанием данного поста, возможно, ваш бизнес находится под угрозой, но с нами вы сможете в считанные минуты восстановить прежнюю безопасность.

UPD (15.05.15): SUPEE-5994

Неофициальное, но надежное зеркало от FireGento со всеми обновлениями для Magento CE 1.7 – 1.9 (включая патчи SUPEE-5994, SUPEE-5344, SUPEE-1533)

Официальное руководство по установке патчей

SUPEE-5994

Команда Magento выпустила новый патч – SUPEE-5994. Предназначен он для того, чтобы пофиксить ряд проблем, связанных с безопасностью вашего магазина электронной коммерции.

К сожалению, проблема затронула все версии Magento CE, так что установить SUPEE-5994 необходимо прямо сейчас.

Патч SUPEE-5994 нужно установить строго после SUPEE-5344 – Shoplift патча.

Кликнув на ссылку вы сможете загруить SUPEE-5994. доступен он для CE 1.4.1– 1.9.1.1.

Отметьте себе, что начинать работу с патчем необходимо в тестовом варианте – не пытайтесь применить его для работающего магазина. Протестируйте патч в экспеременатльной среде, если все нормально – сделайте бекап сайта, и только потом устанавливайте обновление.

• Как установить SUPEE-5994

• Как установить SUPEE-5994 без SSH

___________________________________

Тысячи магазинов не получают обновления лишь по той причине, что их владельцы не уведомлены о проблеме. Будучи активными участниками сообщества Magento, мы всегда стараемся позаботиться о наших соседях по косистеме. Собственно, это и стало причиной написания данного поста. Надеемся, что в свою очередь вы также позаботитесь о распространении данной информации среди сообществаMagento.

В первую очередь советуем ознакомиться с содержимым этой ссылки – https://shoplift.byte.nl/ – тут вы найдете всю информацию о проблемеб включая статистические данные. Следующее видео расскажет о такой проблоеме как Magento Remote Code Execution (RCE) Vulnerability

Данная ссылка поможет определеить, уязвим ли ваш Magento магазин: http://magento.com/security-patch

Хорошая новость заключается в том, что в Magento 1.9.1.1 уже есть все патчи, кроме SUPEE-5994. Так что пофиксить Shoplift баг можно очень просто: обновите сайт до последней версии. Вот вам несколько полезных ссылок:

1. https://www.demacmedia.com/magento-commerce/magento-upgrade-guide/

2. http://www.magentocommerce.com/wiki/1_-_installation_and_configuration/manual_upgrade_using_fresh_install_and_original_database

3. https://blog.amasty.com/how-to-upgrade-magento-version/

А вот советы о том, как пропатчить другие версии Magento:

• https://www.byte.nl/wiki/How_to_apply_Magento_patch_SUPEE-5344

И еще:

• http://magentary.com/kb/apply-supee-5344-and-supee-1533/

Хотите узнать, как устанавливать патчи без SSH и использовать Core Diffs вместо этого? В таком случае смотрите тут: http://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

А также:

• https://magecomp.com/blog/how-to-install-magento-security-patches/

А это соответствующая страничка на Magento Stack Exchange. Решение всех проблемы вы найдете здесь.

• https://magecomp.com/blog/how-to-install-magento-security-patches/

Отчеты о хакнутых Magento магазинах/ Проверяем, взломан ли Magento сайт

По ссылкам ниже вы найдете ряд отчетов о взломанных Magento сайтах. Данной информации будет достаточно для того, чтобы понять, все ли нормально с вашим магазином электронной коммерции. Кроме того, там имеются советы касательно того, как себя вести, если сайт взломан после установки патчей.

• http://community.magento.com/t5/Programming-Questions/Hacked-after-SUPEE-5344-5345-applied/m-p/3596#U3596
• http://magento.stackexchange.com/questions/67660/magento-hacked-even-after-applied-patch
• Server load very high, with MySQL server has gone away end
• Shoplift vulnerability if admin panel is hidden?

Возможноые проблемы, которые возникают после установки патчей. Их устранение

Некоторые старые верси Magento (а именно 1.7.x и 1.8.x) испытывают проблемы во время установки патчей. Поэтому мы настоятельно рекоммендуем ван не начинать никаких установок без предварительного создания резервных копий.

Hunk # FAILED

Hunk # FAILED – В большинстве случаев эта проблема возникает из-за того, что версия патча не подходит для текущей версии Magento магазина, или же что-то не так с сервером. По следующим ссылкам вы найдете все необходимые советы по решению данной проблемы.

• http://magento.stackexchange.com/questions/64221/5344-security-patch-installation-error-in-magento

• http://stackoverflow.com/questions/29703404/error-patching-magento-1-7-1-hunk-1-failed-at

• http://codingbasics.net/bash-hunk-failed/

К сожалению, данная проблема может возникать и при правильном соотношении версий патча и сайта, но в случае с Magento 1.8.x. Для устранения неполадки придется прибегнуть к установке патчей вручную. И не забудьте про бекап!

Fatal error: Class Varien_Db_Adapter_Pdo_Mysql

Fatal error: Class Varien_Db_Adapter_Pdo_Mysql содержит абстрактные методы, поэтому без декларирования тут не обойтись. Проблема зарактерна для старых версий Magento (1.7.x) Даже в том случае, если вы используете правильный патч. В данной ситуации стоит попробовать заменить lib/Varien/Db/Adapter/Pdo/Mysql.php файлом из патча для более поздней версии Magento платформы, например, 1.8-1.9. По ссылке ниже вы сможете загрузить необходимый файл

• http://magecomp.com/blog/wp-content/uploads/2015/04/SUPEE-5344.zip

Также стоит посетить официальный Magento форум. Там вы всегда сможете найти множество полезной информации касательно патчей и обновлений:

• http://community.magento.com/t5/Version-Upgrades/bd-p/upgrade

Информация, которая поможет предотвратить взлом Magento сайта

• http://www.thepixel.com/magento-shoplift-bug-have-you-been-affected/

Class ‘Mage_Install_Controller_Router_Install’ not found

• http://magento.stackexchange.com/questions/68010/error-after-successfull-patch-supee-5994-class-mage-install-controller-router

SUPEE-5994 Patch installation error (fails on lib/PEAR/)

• http://magento.stackexchange.com/questions/68079/supee-5994-patch-installation-error-fails-on-lib-pear

Если вы удалили /downloader, то можете воспользоваться патчем Magento Security Patch SUPEE-5994 (Magento CE 1.6 – 1.9 / EE 1.11 – 1.14)

• https://gist.github.com/schmengler/fd9fe1665eb3101bdf48

Как проверить последнюю установленную версию патча

Во-первых, нужен FTP доступ. Затем необходимо перейти в app/etc/ директорию. Там вы найдете applied.patches.list файл, который появляется после установки первого патча. Это diff файл, который и показывает изменения.

Но есть и более простой способ – Philwinkle_AppliedPatches Magento модуль. Информация о патчах с ним доступня прямиком в админке. Philwinkle_AppliedPatches модуль также работает с applied.patches.list файлом, но делает это в автоматическом режиме.

Проверяем последнюю версию патча

Philwinkle_AppliedPatches on GitHub

Как установить Magento со всеми патчами безопасности, используя для этого Composer:

• https://medium.com/magento-development/magento-and-composer-44af0883abd9

• https://github.com/kirchbergerknorr/magento

Если у вас возникли проблемы при установке Magento патчей, или же вы не можете найти ответы на интересующие вас вопросы, то напишите об этом в комментариях – мы постараемся помочь.