如何檢查您的Magento網站是否已安裝安全性更新?

MAGENTO已經正式發布兩個安全性更新，這兩項潛在威脅是由 Check Point Software Technologies公司發現並回報的。

需要注意的對象包含了企業版及社群版的使用者。根據MAGENTO的說明，這是由SHOPLIFT的bug所引起的。

未安裝更新的網站，可能暴露在會被攻擊並被取得控制權的風險中，因此包含客戶資料在內的敏感資訊會因此洩漏。除了個資外洩之外，對於辛苦建立的商譽更是一大傷害。

如何找到更新檔:

• 企業版：由支援首頁下載
• 社群版：到下載中心下載。

哪些網站需要安裝更新檔案？

除了企業版1.14.2.0已經包含修復的功能，其他版本的都需要更新。

快速檢查：MAGENTO提供一個安全檢查網站，輸入商店網址即可馬上得知您是否需要安裝更新。立即檢查

安全檢查影片教學：

我該安裝哪些更新？

社群版

• 1.4-1.9.1 – 下載
• 1.3 – 請參考此網頁 ， 說明

您要有SSH才能取得官方的更新檔

 

企業版

• 1.14.2.0 – 不需安裝，僅需到此網站檢查，立即檢查 。
• 1.14.1.0 – 請安裝SUPEE-5344即可。
• 1.13.0.0 – 1.14.0.1 – 請安裝SUPEE-5344以及SUPEE-1533。
• 1.12.0.2 – 或更舊版本 -請安裝SUPEE-1533以及依您版本安裝下列檔案：

– Magento Enterprise Edition 1.12.0.x: PATCH_SUPEE-5345_EE_1.12.0.2_v1.sh
– Magento Enterprise Edition 1.11.1.0 thru EE 1.11.2.0: PATCH_SUPEE-5346_EE_1.11.1.0_v1.sh
– Magento Enterprise Edition 1.11.0.x: PATCH_SUPEE-5341_EE_1.11.0.0_v1.sh
– Magento Enterprise Edition 1.10.1.x: PATCH_SUPEE-5390_EE_1.10.1.0_v1.sh
– Magento Enterprise Edition 1.7.0.0 thru 1.10.0.2: PATCH_SUPEE-5388_EE_1.8.0.0_v1.sh

 

Magento提供下列幾點做為可能被入侵的判斷：

• 檢查是不是多了一些不明的Admin帳號
• 檢查是否有一些最近新增的不名檔案
• 檢查主機上的存取LOG檔，看看有無從不明IP位置送過來對/index.php/admin/Cms_Wysiwyg/directive/index/的POST請求
• 使用chkrootkit之類的工具掃描
• 檢查錯誤的許可
• 檢查隱藏檔案
• 用netstat -nap | grep LISTEN指令檢查有無可疑的PORT已被開啟
• 用iptables -L -n之類的指令檢查是否有PORT被重導到作業系統層

如果您尚未安裝更新檔而檢查出可疑之處，請盡快連絡您的主機空間商尋求支援或趕緊連絡Magento專業廠商。