wdrożenia PrestaShop

WAŻNE informacje na temat bezpieczeństwa sklepu

  • 7 Odpowiedzi
  • 8087 Wyświetleń

0 użytkowników i 1 Gość przegląda ten wątek.

*

Offline endriu107

  • user
  • Mieszkaniec
  • *****
  • 1,197
  • 51
  • PrestaShop: PS
  • Status: forum
WAŻNE informacje na temat bezpieczeństwa sklepu
« dnia: Lipiec 22, 2016, 09:05:47 pm »
Ponieważ część z użytkowników nie śledzi co sie dzieje na forach anglojęzycznych postanowiłem podzielić się z wami niezwykle ważna informacja na temat bezpieczeństwa.

Pełny artykuł do przeczytania tutaj: https://www.prestashop.com/forums/topic/544579-major-security-issues-with-few-modules-and-themes/

W skrócie mówiąc zostały wykryte błędy w zabezpieczeniach niektórych modułów które moga doprowadzić do poważnych konsekwencji w działniu i bezpieczeństwie naszego sklepu.

Szablon: Warehouse

Wersja starsza niż 3.7.7. jest podatna na ataki dlatego należy jak najszybciej zaktualizować ją.
 
Moduły dołączone do szablonu które również należy zaktualiowac to:
 
Simpleslideshow
Columnadverts
Homepageadvertise
Productpageadverts
 

Inne moduły które mogą być podatne na ataki to:
 
Advancedslider
Attributewizardpro
Columnadverts
Homepageadvertise
Homepageadvertise2
Productpageadverts
Videostab
vtermslidesshow

oraz natywny moduł który jest w każdej instalacji presty:
 
Send to a Friend


Jeśli korzystać z szablonu Warehouse lub któregokolwiek z wyżej wymienionych modułów sugeruje się wyłączyć moduł i zaktualizować go do najnowszej wersji.

*

Offline design4VIP

  • user
  • Mieszkaniec
  • *****
  • 3,866
  • 131
    • design4VIP z innej strony...
  • PrestaShop: PS
  • Status: Programista
Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
« Odpowiedź #1 dnia: Sierpień 09, 2016, 07:29:45 pm »
ponadto, co mozna wyczytac z tych "fix-ow" nalezy jeszcze zabezpieczyc wszystkie katalogi posiadajace w nazwie "upload" plikiem .htacccess z blokada mozliwosci wykkonywania skryptu PHP. tyczy sie to m.in. modulu AWP i jego katalogu 'file_uploads'. (rozwiazanie/zabezpieczenie dzieki uprzejmosci inten.pl)
design4VIP z innej strony...

*

Offline endriu107

  • user
  • Mieszkaniec
  • *****
  • 1,197
  • 51
  • PrestaShop: PS
  • Status: forum
Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
« Odpowiedź #2 dnia: Sierpień 09, 2016, 08:15:18 pm »
Ja jeszcze dodam że do powyższego zestawienia doszedł moduł Smartblog, należy go zaktualizować do wersji przynajmniej 2.0.2. Moduł niestety jest podatny na sqlinjection i sam autor modułu padł ofiarą ataku jak i kilka innych sklepów. Dodatkowo warto w sklepach stosować niestandardowe prefixy tabel które skutecznie utrudniają ataki tą właśnie metodą.

*

Offline west

  • Administrator
  • Mieszkaniec
  • *****
  • 5,292
  • 106
  • Płeć: Mężczyzna
  • Europasaz.pl
    • PrestaShop, Wordpress, SMF, Woocomerce
  • PrestaShop: 8.0
  • Status: Programista
Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
« Odpowiedź #3 dnia: Sierpień 10, 2016, 12:04:19 am »
znalazłem na Git https://github.com/smartdatasoft/smartblog ten moduł i 8 dni temu zostały opublikowane poprawki do niego niestety nie weryfikowałem czy działa. @endriu piszesz o wersji 2.0.2 na git jest 2.1. nic dziwnego, że ktoś się włamał do archiwum :P
MODUŁY | https://europasaz.pl |  SKLEPY INTERNETOWE | WSPARCIE TECHNICZNE | HOSTING | https://europasaz.pl 

*

Offline endriu107

  • user
  • Mieszkaniec
  • *****
  • 1,197
  • 51
  • PrestaShop: PS
  • Status: forum
Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
« Odpowiedź #4 dnia: Sierpień 10, 2016, 05:45:43 am »
Tak piszę że przynajmniej 2.0.2 ponieważ ona została wydana 01.08.2016 i jest to pierwsza wersja zabezpieczona. Moduł składa się z kilku komponentów i po wykryciu luki, a tak na prawdę po atakach ponieważ luka została wykryta 6 miesięcy temu, należy zaktualizować również wszystkie komponenty do tego modułu. W chwili obecnej autor wypuścił już łącznie 5 komponentów wraz z głównym, nie pamiętam ile było dokładnie wszystkich ale około 10 więc należy czekać aż autor poprawi pozostałe.

*

Offline west

  • Administrator
  • Mieszkaniec
  • *****
  • 5,292
  • 106
  • Płeć: Mężczyzna
  • Europasaz.pl
    • PrestaShop, Wordpress, SMF, Woocomerce
  • PrestaShop: 8.0
  • Status: Programista
Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
« Odpowiedź #5 dnia: Sierpień 10, 2016, 08:02:42 am »
to się jakoś numeracja nie zgadza :P
MODUŁY | https://europasaz.pl |  SKLEPY INTERNETOWE | WSPARCIE TECHNICZNE | HOSTING | https://europasaz.pl 

*

Offline endriu107

  • user
  • Mieszkaniec
  • *****
  • 1,197
  • 51
  • PrestaShop: PS
  • Status: forum
Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
« Odpowiedź #6 dnia: Sierpień 10, 2016, 03:54:41 pm »
Nie wiem na ile wersja z githuba jest zbieżna z modułem udostępnionym na forum prestashop, natomiast każdy zainteresowany może sam prześledzić losy tego modułu: https://www.prestashop.com/forums/topic/545136-prestashop-blog-module/

*

Offline west

  • Administrator
  • Mieszkaniec
  • *****
  • 5,292
  • 106
  • Płeć: Mężczyzna
  • Europasaz.pl
    • PrestaShop, Wordpress, SMF, Woocomerce
  • PrestaShop: 8.0
  • Status: Programista
Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
« Odpowiedź #7 dnia: Sierpień 24, 2016, 08:16:56 am »
Ponieważ część z użytkowników nie śledzi co sie dzieje na forach anglojęzycznych postanowiłem podzielić się z wami niezwykle ważna informacja na temat bezpieczeństwa.

Pełny artykuł do przeczytania tutaj: https://www.prestashop.com/forums/topic/544579-major-security-issues-with-few-modules-and-themes/

W skrócie mówiąc zostały wykryte błędy w zabezpieczeniach niektórych modułów które moga doprowadzić do poważnych konsekwencji w działniu i bezpieczeństwie naszego sklepu.

Szablon: Warehouse

Wersja starsza niż 3.7.7. jest podatna na ataki dlatego należy jak najszybciej zaktualizować ją.
 
Moduły dołączone do szablonu które również należy zaktualiowac to:
 
Simpleslideshow
Columnadverts
Homepageadvertise
Productpageadverts
 

Inne moduły które mogą być podatne na ataki to:
 
Advancedslider
Attributewizardpro
Columnadverts
Homepageadvertise
Homepageadvertise2
Productpageadverts
Videostab
vtermslidesshow

oraz natywny moduł który jest w każdej instalacji presty:
 
Send to a Friend


Jeśli korzystać z szablonu Warehouse lub któregokolwiek z wyżej wymienionych modułów sugeruje się wyłączyć moduł i zaktualizować go do najnowszej wersji.

plik .htaccess do blokowania wykonywania plików:

<IfModule mod_mime.c>
RemoveHandler .php .phtml .php3 .php4 .php5
RemoveType .php .phtml .php3 .php4 .php5
</IfModule>
<IfModule mod_php5.c>
php_flag engine off
</IfModule>
MODUŁY | https://europasaz.pl |  SKLEPY INTERNETOWE | WSPARCIE TECHNICZNE | HOSTING | https://europasaz.pl