Os consultores de comércio eletrônico não estão exagerando quando alertam seus clientes para ficarem parados e não mudarem suas lojas Magento para o Magento 2, porque este ainda não está preparado.
Problemas de segurança continuam a perseguir o Magento 2. Você tem sorte se seguiu os conselhos dos especialistas e não migrou ainda, caso contrário, você pode ser um dos 200.000 vendedores online que estão em risco.
O provedor de serviços de segurança da Web DefenseCode detectou um bug de execução remota de código (RCE) vinculado a um recurso no software Magento 2 que permite aos administradores adicionar vídeos que estão hospedados no Vimeo.
Isso poderia servir como uma porta de entrada para os hackers acessarem o banco de dados de um usuário Magento, incluindo informações confidenciais, e até mesmo instalar malware.
Tudo o que eles precisam fazer é atrair um usuário para fazer o download de uma URL que contém um arquivo.htaccess e um arquivo PHP. Depois de conseguir isso, eles podem manipular facilmente o sistema do usuário a partir de um servidor remoto.
“Durante a auditoria de segurança do Magento Community Edition, foi descoberta uma vulnerabilidade de alto risco que poderia levar à execução remota de código e, portanto, ao comprometimento completo do sistema, incluindo o banco de dados contendo informações confidenciais do cliente, como números de cartão de crédito armazenados e outras informações de pagamento”, disse DefenseCode em seu conselho.
Eles acrescentaram que as versões afetadas do software Magento Community Edition incluem v.2.1.6 e abaixo.
Tranquilidade do Magento
Embora ainda não tenham ouvido falar de nenhum ataque real, o Magento garantiu a seus clientes que eles já estão investigando o assunto.
Além disso, a empresa recomendou etapas úteis que garantirão a segurança dos dados de seus clientes.
“Temos investigado ativamente a causa raiz do problema relatado e não temos conhecimento de nenhum ataque em andamento. Estaremos tratando do problema em nosso próximo lançamento de patch e continuaremos a trabalhar consistentemente para melhorar nossos processos de garantia”, disseram eles.
Para proteger seus usuários de possíveis ataques de segurança, Magento enviou um e-mail que inclui as etapas para ativar a opção “Adicionar chave secreta a URLs”.
Acha que seu sistema Magento 2 está em risco? Siga esses passos:
- Faça logon no URL do administrador do site do comerciante (por exemplo, seu domínio.com/admin)
- Clique em Lojas> Configuração> AVANÇADO> Admin> Segurança> Adicionar chave secreta a URLs
- Selecione SIM nas opções suspensas
- Clique em Salvar configuração
Podemos ter parecido um disco quebrado, dizendo repetidamente que o Magento 2 ainda não está pronto, mas estamos muito felizes por termos feito isso.
