Dopo settimane di attesa della patch oggi (27.10.2015) è stato rilasciato: SUPEE-6788
Molte cose sono state patchate ed è anche incoraggiato a rivedere i moduli installati per possibili vulnerabilità.
Apro questo post per ottenere alcuni approfondimenti su come applicare la patch. Quali sono i passaggi per applicare la patch? Per la mia comprensione, questi sono i passaggi:
- Correggi i moduli con funzionalità di amministrazione che non si trova nell'URL di amministrazione
- Correggi i moduli che utilizzano le istruzioni SQL come nomi di campo o campi di escape
- White list block o direttive che utilizzano variabili come
{{config path=”web/unsecure/base_url”}}
e{{bloc type=rss/order_new}}
- Affrontare il potenziale exploit con il tipo di file di opzioni personalizzato (non ho idea di come farlo)
- Applica la patch
È questa la procedura corretta?
.htaccess.sample
così come .htaccess
. Quest'ultimo è personalizzato nella maggior parte dei negozi, questo farà fallire la patch => È necessario sostituirlo temporaneamente con il file originale di Magento, applicare la patch, ripristinare il proprio .htaccess e applicare la modifica che protegge l'accesso a cron.php
manualmente (don ' ovviamente, per questo processo, uso il sistema di produzione!)