Проблеми свързани със сигурността на Prestashop
В светлината на проблемите, свързани със сигурността сме Ви подготвили няколко възможности за осигуряване защитата на вашия онлайн магазин, потребители и партньори:
●Новите версии на Prestashop 1.4.x и 1.5.x., версия 1.6.1.0 са вече обезопасени.
●Пач файлове за най-новите версии на всяка версия – 1.4.11.0, 1.5.6.2 и 1.6.0.14.
●Секюрити пач модул, който се прилага към по-горните пач файлове в много по-удобен за потребителя начин.
●Zip файлове за промяна на файловете в 1.4, 1.5 и 1.6.
Препоръчваме Ви да обновите своя онлайн магазин или до най-новата версия, която беше пусната преди време (1.5.6.3 и 1.4.11.1) или да приложите поправки, които можете да видите по-долу (виж линковете по-долу).
Версия 1.5.6.3 поправя 17 други проблема: виж лога с промените тук.
Версия 1.4.11.1 поправя 7 други проблема: виж лога с промените тук.
Кои версии са засегнати?
Въпросът със сигурността остава открит за всички версии на Prestashop, с изключение на версия 1.6.1.0 и Prestashop Cloud.
Ето защо, тя засяга клоновете 1.4.x, 1.5.x, 1.6.x до 1.6.0.14.
Накратко, ако все още не сте обновили Prestashop до 1.6.1.0, шансовете вашият онлайн магазин да е уязвим са големи.
Темите и модулите, които не са засегнати трябва да продължат да работят след инсталацията на поправките.
Как да защитя онлайн магазина/клиентите на магазина?
За тези, които все още не са обновили Prestashop до 1.6.1.0, ние предлагаме няколко начина да направите това:
●За технически незапознатите хора е създаден модула Security Patch, който ще закърпи най-новите версии 1.4, 1.5 и 1.6. Това означава, че той гарантирано ще работи на Prestashop 1.4.11.0, 1.5.6.2 и 1.6.0.14.
●Модулът работи за всички три версии: просто го инсталирате и активирате, а той ще приложи пача!
●За технически по-напредналите хора или тези, за които модулът не може да приложи пача, могат да получат кръпката за най-новите версии (1.4, 1.5, 1.6) на GitHub (кликнете тук за връзките).
Модулът с тези пачове работи само с най-новите версии на системата, а именно 1.4.11.0, 1.5.6.2 и 1.6.0.14 без други – без промени от ваша страна.
Ако вашият онлайн магазин не е обновен до най-новите версии (1.6), ние силно препоръчваме да го актуализирате до последната версия на вашия клон преди прилагане на пача.
Ако не можете да го надградите, ще трябва файловете от пача да се адаптират към конкретната ситуация.
– Също така можете да изтеглите и обновените файлове от архивите за клоновете 1.4, 1.5 и 1.6. Те съдържат само файловете, които са променени след последната версия на всеки клон. Кликнете тук за да получите връзките.
Ако не сте правили промени по тези файлове, можете просто да замените старите с новите.
Накрая, версиите 1.5.x и 1.4.x трябва да са актуализирани. Считано от днес, можете да изтеглите Prestashop 1.5.6.3 и 1.4.11.1 от страниците на предишните версии.
Във версия 1.6.1.0 се съдържат и кръпките за 1.6 клоновете, така че няма да се пуска версия 1.6.0.15. Направете надграждането!
Ефектът от модула е прилагане на пачовете за всеки клон: 1.6.0.14, 1.5.6.2, 1.4.11.0. Те обаче няма да работят на по-старите версии. Ако сте в тази ситуация, има кратко ръководство за това как да приложите пачовете ръчно.
Във всеки случай, ние препоръчваме да съхраните актуализациите с най-новата и най-сигурна версия на Prestashop: в най-добрата 1.6.1.0; в най-лошия, последните версии от клоновете на 1.5 или 1.4.
За тези от вас, които са със силно персонализирани файлове на ядрото, вземете всички предпазни мерки, преди да инсталирате модула, преди сливането на кръпките или преди качването на променените файлове! Вероятно ще се наложи да адаптирате пача до конкретната инсталация.
Имайте предвид, че модулът няма да работи във всички Windows сървърни конфигурации, както и във някои ограничени Linux конфигурации. В тези случаи пачът ще трябва да се адаптира към специфичната конфигурация. Моля, вижте инструкциите в този текстов файл.
Използвам по-стара версия на Prestashop, какво да направя?
Модулът работи с последните версии на 1.4, 1.5 и 1.6.0. С по-ранните версии на тези клонове той също трябва да работи, въпреки че при най-стария може да има проблеми.
Модулът няма да работи в Prestashop 1.0, 1.1, 1.2, нито пък при 1.3.
Ако имате по-стара версия на Prestashop, нашият най-добър и най-чест съвет е да актуализирате онлайн магазина си. Най-малкото той трябва да бъде във версия 1.4 на Prestashop, тъй като за по-старите версии няма да има повече актуализации – клонът 1.3 например не е получавал актуализации от месец март 2011 г., което е повече от четири години.
4 начина за осигуряване сигурността на вашия онлайн магазин:
●Поддържайте онлайн магазина си винаги актуален до най-новата версия, както и всичките му модули.
●Защитете вашата бек офис папка с парола в .htaccess.
●Не използвайте обичайното име за своята бек-офис папка (т.е.., Нещо по-различно от /admin1234).
●Използвайте по-сложни пароли или дори пароли, които са уникални за вашия магазин.
Ако наистина искате да направите корекции на вашия онлайн магазин, можете да опитате, като следвате краткото ръководство за това как да приложим пача ръчно.
Как е открит и решен проблема?
Проблемът бе открит от консултантът по сигурността Винсент Хербалт (@ us3r777), който се е свързал директно със security@Prestashop.com.
Проблемът веднага е оправен от екип по сигурността, с помощ на Винсет, разработвайки модулът за Prestashop.
Отговорното разкриване на проблемите е стандартна практика, тъй като ако някой срещне проблем със сигурността: преди да го направи публичен, откривателят информира екипа от разработчици за него, така че да може да бъде създадена бърза кръпка и по този начин да се минимизира вероятността за потенциална вреда.
Екипът на Prestashop се опитва да бъде много активен при предотвратяването на проблеми свързани със сигурността. Дори и по такива критични въпроси, които могат да се появят без известие.
Ето защо бе създаден имейл адресът [email protected]: всеки може да се свърже с екипа относно всички подробности и въпроси, засягащи сигурността на Prestashop платформата. Екипът по сигурността отговоря и ще обсъди с вас всички ваши подозрения относно сигурността на платформата.