magento-security

Magento site của bạn sẽ thiệt hại như thế nào nếu không được update và deploy patch fix thường xuyên

hacker

Dưới đây là video được chia sẽ bởi Check Point Software Technologies. Trong video này tác giả lợi dụng lỗi bảo mật RCE (Remote Code Execution) để tiến hành chèn thêm coupon code với số tiền “khủng” nhằm đặt mua hàng một cách … miễn phí.

Lỗi bảo mật này đã được report đến Magento và SUPEE-5344 security patch đã được release nhằm vá lỗi bảo mật trên.
Đây chỉ là một ví dụ điển hình về tác hại của việc không cập nhật các bản vá lỗi thường xuyên, bạn hãy luôn cập nhật thông tin về các update của Magento và tiến hành fix nhanh ngay khi có thể, tuy nhiên để bảo đảm việc kinh doanh của bạn không bị gián đoạn, hãy luôn deploy patch trên test server trước nhé.

 

magento-security

Magento release phiên bản mới 2.0.6

magento206

Magento release phiên bản mới Magento CE 2.0.6 vào ngày 18/05/2016, update mới bao gồm những cải tiến quan trọng như sau:
1. Hỗ trợ dùng Redis để chứa session
2. Fix vấn đề phân quyền bằng cách bổ sung một phương pháp linh hoạt hơn cho việc set file ownership
3. Vá lỗi bảo mật cho các issue sau:
– Ngăn ngừa user không hợp lệ sử dụng REST hoặc SOAP để thực thi mã độc từ xa
– Ngăn chặn việc kích hoạt site tự cài đặt lại, hacker không thể kích hoạt cài đặt lại site để chiếm quyền điều khiển
– Vá lỗi bảo mật: khách hàng đăng nhập thông qua SOAP hoặc REST có thể chỉnh sửa thông tin của khách hàng khác
– Fix hoàn toàn lỗi cross-site scripting trong payment gateway Authorize.net

Bạn có thể tìm hiểu thông tin đầy đủ về bản update này tại link:
http://devdocs.magento.com/guides/v2.0/release-notes/ReleaseNotes2.0.6CE.html

Link download:
https://www.magentocommerce.com/download