Seguridad en Magento: Parches de seguridad
25 May 2015

Seguridad en Magento: Parches de seguridad

Seguramente en abril y en mayo (2015),

25 May 2015

Seguramente en abril y en mayo (2015), has visualizado en el panel de Magento alguno de estos mensajes con un aspecto terrorífico:

  • Critical Reminder: Download and install Magento security patches. Download now.
  • Second Reminder: Download and install Magento critical security patches now.
  • Urgent: Immediately install Magento critical security patches

Seguridad Magento

Pues bien, se trata de un aviso que deberías tener muy en cuenta si no quieres entrar en tu Magento e-commerce un día y encontrártelo desmantelado o sustituido por una página extraña.

A principio de año se ha descubierto una vulnerabilidad en el core de Magento que podría permitir a posibles atacantes a ejecutar código PHP en el servidor donde tienes alojado tu e-commerce. Un atacante podría visualizar, modificar o eliminar la base de datos de Magento, podría robar información de clientes, o acceder a otros sitios alojados en el mismo servidor.

Por eso es muy importante que resuelvas este asunto lo antes posible.

Los parches de Seguridad de Magento SUPEE-5344, SUPEE-1533 y SUPEE-5994

En la página de descarga de Magento se pueden descargar entre otros estos tres parches. Para descargar estos parches cruciales para la seguridad de Magento primero es imprescindible seleccionar la versión adecuada:

Descargar parches seguridad Magento

El fichero descargado debe colocarse en la carpeta raíz de nuestro Magento para ser ejecutado. Es un archivo .sh (un ejecutable para Linux), que es algo parecido a un .exe en windows. Se puede ejecutar utilizando el comando sh o bash.

Antes de instalar el parche de seguridad de Magento hay que saber que este ejecutable aplica el parche utilizando la herramienta “patch”, por lo tanto, si no está instalada debemos hacerlo. Si no tenemos esta herramienta instalada simplemente nos avisará de que es necesaria y no se aplicarán los parches.

Una vez situados en la carpeta raíz de Magento donde previamente habremos colocado el fichero .sh haremos lo siguiente (poniendo el nombre del fichero descargado):

sh PATCH_SUPEE-5994_CE_1.6.0.0_v1-2015-05-15-04-34-46.sh

Al ejecutar esto deberías obtener un resultado como este:

Checking if patch can be applied/reverted successfully...
Patch was applied/reverted successfully.

Esto significa que el parche de seguridad de Magento se ha aplicado correctamente. Una vez aplicados los parches es muy sencillo ver qué archivos se han modificado entrando en un fichero que se genera automáticamente en app/etc/applied.patches.list

Por ejemplo, si el parche aplicado ha sido solamente el 5994 deberíamos tener en este fichero algo como esto:

-e 2015-05-25 12:12:46 UTC | SUPEE-5994 | CE_1.6.0.0 | v1 | _ | n/a | SUPEE-5994_CE_1.6.0.0_v1.patch
patching file app/code/core/Mage/Authorizenet/controllers/Directpost/PaymentController.php
patching file app/code/core/Mage/Core/Controller/Varien/Router/Admin.php
patching file app/code/core/Mage/Core/Controller/Varien/Router/Standard.php
patching file app/code/core/Mage/Customer/Model/Customer.php
patching file app/code/core/Mage/Dataflow/Model/Convert/Parser/Csv.php
patching file app/code/core/Mage/ImportExport/Model/Export/Adapter/Csv.php
patching file app/code/core/Mage/Install/Controller/Router/Install.php
patching file app/code/core/Mage/Install/etc/config.xml
patching file app/code/core/Mage/Sales/controllers/Recurring/ProfileController.php
patching file downloader/Maged/Model/Connect.php
patching file downloader/Maged/View.php
patching file downloader/template/connect/packages_prepare.phtml
patching file downloader/template/messages.phtml
patching file get.php
patching file lib/PEAR/PEAR/PEAR.php
patching file lib/PEAR/PEAR/PEAR5.php
patching file lib/Varien/Io/File.php

Espero que este post haya resuelto tus dudas sobre la aplicación de parches y que te sirva para la mejora de la seguridad de tu Magento. Un placer ayudar.

Way2 Ecommerce

Way2 Ecommerce

Expertos en Magento ecommerce. Definimos, desarrollamos, mantenemos y potenciamos tiendas online de la mas alta calidad para que tu ecommerce supere todas tus expectativas.
Way2 Ecommerce

Latest posts by Way2 Ecommerce (see all)

Deja tu comentario
Otras entradas
Comentarios
  1. Roberto Pérez Febrero 12th, 2016 2:40PM

    Muy buenas,
    Tengo una tienda online en Magento desde hace ya dos años y medio aproximadamente y no se si tiene los parches de seguridad instalados. ¿Hay alguna forma de saber en Magento que parches de seguridad tengo y cuales me faltan? Estaría interesado en conocer el actual estado de mi ecommerce para ver cuales debo instalar porque es un tema que me preocupa bastante.

    • Way 2 Ecommerce Febrero 12th, 2016 2:43PM

      Hola Roberto,

      Puedes acceder a este enlace e introducir la url de tu tienda online. La página hará un chequeo de los parches de seguridad de Magento y te indicará cuales tienes instalados y cuales no. Es un buen punto de partida para conocer el estado de seguridad de tu tienda online.

      Esperamos que la información te sea de utilidad.

Comentario