Seguridad en Magento: Parches de seguridad

Profile picture for user admin
Por Way2 Ecommerce
25 May 2015

Seguramente en abril y en mayo (2015), has visualizado en el panel de Magento alguno de estos mensajes con un aspecto terrorífico:

  • Critical Reminder: Download and install Magento security patches. Download now.
  • Second Reminder: Download and install Magento critical security patches now.
  • Urgent: Immediately install Magento critical security patches

Seguridad Magento

Pues bien, se trata de un aviso que deberías tener muy en cuenta si no quieres entrar en tu Magento e-commerce un día y encontrártelo desmantelado o sustituido por una página extraña. A principio de año se ha descubierto una vulnerabilidad en el core de Magento que podría permitir a posibles atacantes a ejecutar código PHP en el servidor donde tienes alojado tu e-commerce. Un atacante podría visualizar, modificar o eliminar la base de datos de Magento, podría robar información de clientes, o acceder a otros sitios alojados en el mismo servidor. Por eso es muy importante que resuelvas este asunto lo antes posible.

Los parches de Seguridad de Magento SUPEE-5344, SUPEE-1533 y SUPEE-5994

En la página de descarga de Magento se pueden descargar entre otros estos tres parches. Para descargar estos parches cruciales para la seguridad de Magento primero es imprescindible seleccionar la versión adecuada:

parche seguridad

El fichero descargado debe colocarse en la carpeta raíz de nuestro Magento para ser ejecutado. Es un archivo .sh (un ejecutable para Linux), que es algo parecido a un .exe en windows. Se puede ejecutar utilizando el comando sh o bash. Antes de instalar el parche de seguridad de Magento hay que saber que este ejecutable aplica el parche utilizando la herramienta “patch”, por lo tanto, si no está instalada debemos hacerlo. Si no tenemos esta herramienta instalada simplemente nos avisará de que es necesaria y no se aplicarán los parches. Una vez situados en la carpeta raíz de Magento donde previamente habremos colocado el fichero .sh haremos lo siguiente (poniendo el nombre del fichero descargado):

sh PATCH_SUPEE-5994_CE_1.6.0.0_v1-2015-05-15-04-34-46.sh

Al ejecutar esto deberías obtener un resultado como este:

Checking if patch can be applied/reverted successfully...
Patch was applied/reverted successfully.

Esto significa que el parche de seguridad de Magento se ha aplicado correctamente. Una vez aplicados los parches es muy sencillo ver qué archivos se han modificado entrando en un fichero que se genera automáticamente en app/etc/applied.patches.list

Por ejemplo, si el parche aplicado ha sido solamente el 5994 deberíamos tener en este fichero algo como esto:

-e 2015-05-25 12:12:46 UTC | SUPEE-5994 | CE_1.6.0.0 | v1 | _ | n/a | SUPEE-5994_CE_1.6.0.0_v1.patch
patching file app/code/core/Mage/Authorizenet/controllers/Directpost/PaymentController.php
patching file app/code/core/Mage/Core/Controller/Varien/Router/Admin.php
patching file app/code/core/Mage/Core/Controller/Varien/Router/Standard.php
patching file app/code/core/Mage/Customer/Model/Customer.php
patching file app/code/core/Mage/Dataflow/Model/Convert/Parser/Csv.php
patching file app/code/core/Mage/ImportExport/Model/Export/Adapter/Csv.php
patching file app/code/core/Mage/Install/Controller/Router/Install.php
patching file app/code/core/Mage/Install/etc/config.xml
patching file app/code/core/Mage/Sales/controllers/Recurring/ProfileController.php
patching file downloader/Maged/Model/Connect.php
patching file downloader/Maged/View.php
patching file downloader/template/connect/packages_prepare.phtml
patching file downloader/template/messages.phtml
patching file get.php
patching file lib/PEAR/PEAR/PEAR.php
patching file lib/PEAR/PEAR/PEAR5.php
patching file lib/Varien/Io/File.php
Profile picture for user admin
Way2 Ecommerce

Expertos en Magento ecommerce. Definimos, desarrollamos, mantenemos y potenciamos tiendas online de la más alta calidad para que tu ecommerce supere todas tus expectativas.