Değil (sadece) Magento
Diğer birçok web sitesinin bu şekilde saldırıya uğradığını gördüm, sadece Magento'da değil, kod tabanına kötü amaçlı kod ekledim. Ve birçok varyant var: POST verilerini çalan komut dosyaları, XSS ekleyen komut dosyaları, kök parolaları çalmaya çalışan komut dosyaları, verilerin işlenmesine izin veren komut dosyaları (Bitcoin madenciliği için, bu sunucudan spam e-postalar göndermek için), vb ...
Bazı durumlarda, bir istemci bilgisayardan FTP kimlik bilgilerinin (virüsler / kötü amaçlı yazılımlar tarafından) çalınması, diğer durumlarda uygulamada bir kötüye kullanım kullandı.
WordPress gibi istismarlar yoluyla sunucuya erişim sağlayabilen başka birçok uygulama vardır.
Magento'nun suçlanacağı tek bir durum var ve Magento'dan bir eylem beklenecek ve bu: istismar edilen uygulamanın en son versiyonun Magento olması ve tamamen yamanması durumunda.
Bu nedenle, bu vurgulanan davanın Magento'daki bir hatadan kaynaklanmasının sadece küçük bir şansı var. Bu yüzden Magento'dan hiçbir şey duymuyorsunuz.
Buradaki yeni şey, eklenen kodun özellikle Magento'yu hedeflemesi ve Magento'nun kod mimarisini ve ilkelerini kullanmasıdır.
Ne yapalım
Şimdi sorunuza "Buna karşı ne yapmalı?"
WordPress + Magento gibi aynı sunucu örneğinde asla iki farklı uygulama çalıştırmayın . Bazen WordPress'in www.magentoshop.com/blog/ adresinde olduğu gibi veya Magento'nun www.wordpresswebsite.com/shop/ adresinde çalıştığını görürsünüz. Bunu yapma. WordPress'teki istismarlar, saldırganın Magento verilerinize erişmesine izin verebilir.
GIT kullanıyorum Sürüm Kontrol Sistemi kullanın ve ayrıca web sitesinde dağıtmak için sunucuda (salt okunur erişim) var. Bu da çalışarak sistemdeki değişiklikler hakkında hızlı bir fikir veriyor git status
.
Asla FTP kullanmayın, sadece SFTP kullanmayın,
yukarıda bahsettiğim şifreleri asla saklamayın FTP şifrelerinin bir istemci bilgisayardan çalındığı. Ayrıca internet üzerinden şifrelenmemiş veri göndereceği için FTP kullanmak güvenli değildir. Bu yüzden SFTP kullanın ve şifrelerinizi asla FTP uygulamanızda saklamayın, sadece tembel olmayın ve sunucunuza her bağlandığınızda bunları yazın.