Không (chỉ) Magento
Tôi đã thấy nhiều trang web khác bị tấn công theo cách này, chèn mã độc vào cơ sở mã và không chỉ trong Magento. Và có nhiều biến thể: tập lệnh đánh cắp dữ liệu POST, tập lệnh thêm XSS, tập lệnh cố gắng đánh cắp mật khẩu gốc, tập lệnh cho phép các cuộc gọi đến xử lý dữ liệu (để khai thác Bitcoin, gửi email spam từ máy chủ đó), v.v ...
Trong một số trường hợp, nguyên nhân đã bị đánh cắp thông tin đăng nhập FTP (do vi-rút / phần mềm độc hại) từ máy khách trong các trường hợp khác, nó đã sử dụng khai thác trong ứng dụng.
Có nhiều ứng dụng khác có thể cung cấp quyền truy cập vào máy chủ thông qua khai thác, ví dụ như WordPress.
Chỉ có một trường hợp mà Magento sẽ bị đổ lỗi và một hành động từ Magento sẽ được mong đợi và đó là: nếu ứng dụng được khai thác sẽ là Magento của phiên bản mới nhất và được vá đầy đủ.
Vì vậy, chỉ có một cơ hội nhỏ trường hợp nổi bật này là do lỗi ở Magento ngay từ đầu. Đó là lý do tại sao bạn không nghe thấy gì từ Magento.
Điều mới ở đây là mã được chèn rất đặc biệt nhắm mục tiêu Magento và sử dụng các nguyên tắc và kiến trúc mã của Magento.
Phải làm gì
Bây giờ để đưa ra một số câu trả lời cho câu hỏi của bạn "Làm gì để chống lại nó?"
Không bao giờ chạy hai ứng dụng khác nhau trên cùng một máy chủ
như WordPress + Magento. Đôi khi bạn thấy WordPress chạy trên như trong www.magentoshop.com/blog/ hoặc Magento chạy trên www.wordpresswebsite.com/shop/. Đừng làm vậy. Khai thác trong WordPress có thể cung cấp cho kẻ tấn công quyền truy cập vào dữ liệu Magento của bạn.
Sử dụng Hệ thống kiểm soát phiên bản
Tôi đang sử dụng GIT và cũng có hệ thống này trên máy chủ (chỉ truy cập đọc) để triển khai trang web. Điều này cũng cho tôi cái nhìn sâu sắc nhanh chóng về những thay đổi trên hệ thống bằng cách chạy git status
.
Không bao giờ sử dụng FTP, chỉ SFTP, không bao giờ lưu trữ mật khẩu
mà tôi đã đề cập ở trên rằng mật khẩu FTP đã bị đánh cắp từ máy khách. Ngoài ra sử dụng FTP không an toàn vì nó sẽ gửi dữ liệu không được mã hóa thông qua internet. Vì vậy, hãy sử dụng SFTP và không bao giờ lưu trữ mật khẩu của bạn trong ứng dụng FTP của bạn, đừng lười biếng và nhập chúng mỗi khi bạn kết nối với máy chủ của mình.