Il team Magento ci segnala due potenziali rischi vulnerabilità di sicurezza sui siti che utilizzano Nginx e il tool di importazione dati Magmi. Vediamo nel dettaglio di cosa si tratta.
Configurazione errata dei siti Magento che utilizzano Magmi
Byte.nl ha recentemente riportato che alcuni siti di Magento che utilizzano il software del server Web Nginx sono mal configurati e quindi vulnerabili agli attacchi. L'errata configurazione consente l'accesso esterno ai file di cache Magento. I file di cache hanno nomi prevedibili e possono contenere informazioni riservate, comprese le password del database di Magento. Queste informazioni possono essere utilizzate per ottenere l'accesso all'installazione Magento e alle informazioni dei clienti.
Per risolvere questo problema quando si utilizza Nginx o qualsiasi altro software di web server diversi da Apache, è necessario assicurarsi che il file di configurazione del client protegga i file e le directory in modo corretto. Magento Security Best Practices contiene tutte le informazioni per capire come configurare l'ambiente server. È inoltre possibile trovare un esempio di un file di configurazione per Nginx al link https://gist.github.com/gwillem/cd5ae6845fa33aa0d481.
Magmi data Import Tool non protetto
È emerso inoltre che i siti che utilizzano Magmi, il tool di importazione dei dati, non è protetto da accessi dall'esterno. C’è il rischio che venga fatto un abuso di questo tool per ottenere l'accesso completo all’installazione Magento. È importante che rimuoviate ora questo tool dai siti o limitiate l'accesso ad esso in base all'indirizzo IP o tramite password.
Risorse di sicurezza
Per verificare altre vulnerabilità di sicurezza è possibile consultare il sito http://magereport.com. È un progetto sviluppato dalla comunità Magento non affiliata con Magento.