Y Magento no es diferente. Este CMS tiene diferentes formularios en su estructura como son la suscripción al newsletter, registro de cliente o formulario de contacto que son carne de cañón para los insistentes bots.

Si tenemos registros fake en principio no supone un problema de seguridad. Pero si nos va a ensuciar nuestra base de datos, entorpecer el trabajo diario y puede derivar en problemas o advertencias por parte del hosting por enviar emails a cuentas inexistentes o fraudulentos.

Por todo esto, es necesario poner medidas para que nuestra tienda no se convierta en un coladero de SPAM. Algunas de estas medidas son:

• Bloquear IP. Ips rusas, chinas, o sudeste asiático son comunes. Pero bloquear una determinada IP no excluye que mañana venga de otra IP distinta.
• Boquear User Agent. Puede ser útil para limitar molestas arañas de rastreo. ¡Pero cuidado con blouear el robot de Google!
• Habilitar la confirmación de email. No evita el registro en la bbdd pero si que ese usuario este activo. La desventaja es que sólo sirve para el formulario de registro y obligas a los usuarios a dar un paso más en el proceso.
• Reducir el número de caracteres para ciertos campos (en el caso del registro). En la bbdd podemos especificar que longitud máxima tendrá el campo «Nombre» y «Contraseña» para el cliente. Los bots suelen añadir mucha porquería en los campos del formulario por lo que si indicamos que la longitud de nombre y apellido no pueden ser mayor a 40 carácteres puede parar su molestas acciones. Esto se hace desde la tabla customer_eav_attribute  y modificamos attribute_id=5 (nombre) y attribute_id=7 (apellido) de esto:
  a:2:{s:15:»max_text_length»;i:255;s:15:»min_text_length»;i:1;}
  a
  a:2:{s:15:"max_text_length";i:40;s:15:"min_text_length";i:1;}
• Captcha. Tanto Magento 1 como Magento 2 tienen la opción de habilitar un campo captcha en determinados lugares. Pero en ciertas ocasiones los malditos bots se saltan este campo.
• Google Recaptcha. Para añadir este servicio de Google en Magento 1 era necesario añadir una extensión que nos añadiera esta funcionalidad. En Magento 2 ya viene por defecto.

Configurar Google Recaptcha para Magento 2

Primero iremos a Google reCAPTCHA para generar un nuevo dominio con sus claves. Añadiremos un dominio con una etiqueta cualquiera.

Podremos escoger entre estos servicios:

• reCAPTCHA v3 Invisible
• reCAPTCHA v2 Invisible
• reCAPTCHA v2 (“No soy un robot”)

Una vez guardado nos generará dos claves que deberemos guardar para configurar en nuestro admin Magento:

Vamos a Stores > Settings > Configuration

En el panel de la izquierda, en la sección Security, vamos a google reCAPTCHA Admin Panel

La versión Invisible es interesante porque sólo muestra el captcha en el caso de levantar sospechas de que no es un humano el que está al otro lado. Esto ayuda a la usabilidad de la tienda. Para usar reCAPTCHA v3 Invisible, expandimos su apartado y rellenamos y configuramos los datos que nos pide.

Los más importantes para que funcione son Google API Website Key y Google API Secret Key , datos anteriormente generados al generar nuestra cuenta en Google Recaptcha.

Google Recaptcha para Magento 1

Si tienes Magento 1 recomiendo usar la extensión Magento Google Invisible Captcha de Amasty que funciona muy bien.

Ampliando el ejemplo anterior si, en nuestro ecommerce, los usuarios:

• pueden suscribirse al newsletter
• pueden enviar un formulario de presupuesto
• pueden finalizar pedido en tu tienda
• hacen comentarios de producto

deberemos adaptarnos a la nueva ley de protección de datos.

Incluso si no tuviéramos nada de esto pero tuvieramos enviando datos a Google Analytics tendríamos que adaptarnos.

¿Cuando entró en vigor?

Está aprobado desde el 2016 y durante este tiempo ha estado en periodo de adaptación. Pasa a ser obligatorio el 25 de mayo de 2018.

Cómo cumplir con el RGPD si tienes un ecommerce

Un profesional debería hacer una auditoría de tu tienda/negocio para reflejar que puntos se cumplen o no, tareas a realizar y un calendario de adaptación.

Primeramente vamos a indicar una lista de acciones en la gestión de ecommerce que a partir de ahora quedan invalidadas:

• Enviar emails a personas que no lo hayan solicitado explícitamente. Prohibido (antes ya lo estaba) comprar listas de terceros o enviar a una lista de otra fuente.
• No se pueden enviar emails relacionados con carritos abandonados, compras anteriores, cupones, ofertas, si el usuario no ha aceptado previamente el envio este tipo de emails. Esto es expandible a los SMS.
• Si el cliente solicita sus datos personales que nos confió, es ilegal no facilitarselos.

En segundo lugar se indican nuevas obligaciones que entran en vigor con la nueva Ley:

Eliminar cuentas de usuarios.

A partir de ahora el usuario debería tener a su disposición una sección donde podrá “Eliminar cuenta” o similar para cumplir con el Derecho al Olvido. Esta funcionalidad eliminaría la cuenta y los datos personales que tengamos sobre este usuario, menos los datos de carácter fiscal.

Esto es extensible a terceros, es decir, tienes que informar a esos proveedores de servicios, que en su día enviaste esa información,  para que lo eliminen.

Este borrado de datos afecta también a las copias de seguridad. Plantéate esta nueva situación a tu webmaster/hosting para que aplique la mejor solución.

Edición de datos

Para cumplir con el derecho de rectificación es necesario que los usuarios puedan rectificar los datos recabados. Esto se amplía a datos recopilados por otras fuentes como Facebook, Google, Amazon, etc. con la opción “Inicio de Sesión con Facebook, Amazon, Google,…” Esa es la parte compleja técnicamente ya que la edición de datos desde la cuenta de cliente registrado (no invitado) viende por defecto en la mayoria de CMS permiten.

Exportación de datos del usuario

Igual que con el borrado o la edición de datos, el usuario deberá poseer la opción de exportar sus datos para cumplir con el derecho de portabilidad. El cliente podrá descargarlos y visualizarlos desde su cuenta de usuario.

Consulta de datos de usuario

El usuario podrá consultar en cualquier momento qué datos suyos están siendo tratado por parte de una tienda online en cualquier momento. Además del origen de esos datos, la finalidad del tratamiento, si va a ser comunicado en el futuro, si se ha enviado sus datos a un tercero o fecha/hora en que acepto los Términos y condiciones y Política de privacidad.

En el caso de compras como invitados también hay que darles una opción para esta consulta aunque no tenga cuenta de cliente creada:

• Mediante un contacto directo con el responsable del fichero para que le proporcione esta información.
• Mediante un sistema que al introducir un email u otro identificador se muestre los resultados asociados a esa información, al menos, de manera temporal.

Restringir el procesamiento de datos

Similar al apartado de eliminación de cuenta, con esta implementación, el RGPD busca una desactivación temporal de su cuenta hasta que el usuario decida activarla de nuevo.

Ley de Cookies

Con la aplicación de este nuevo reglamento, al igual que con la anterior LOPD, el consentimiento no puede ser explicitado y tiene que ser aceptado para aplicar las cookies.

Las cookies deben cargarse en el equipo del usuario después (no antes) de que éste otorgue su consentimiento. Pero esto no es nuevo, sólo que nadie lo cumple a rajatabla.

Verificación de la edad del usuario

En caso de menor de 16 años, el sistema no debería permitir el registro o la compra, a menos que sus padres o tutor de autorización. Si se introduce un nuevo campo fecha en el formulario podremos validarlo y llevar a cabo con la acción o  mostrar un aviso de error. Y en caso de falseo de datos, el propietario estará exento de responsabilidad.

Caducidad de los datos

Si los datos provenientes de nuestros usuarios han dejado de tener validez, han caducado o su fin ya no tiene sentido no debemos seguir conservando esa información. Los datos fiscales de pedidos/facturas/albaranes/devoluciones deberemos mantenerlos 4 años para cualquier consulta o inspección fiscal.

Pasos para adaptarse al nuevo reglamento

Los siguientes consejos hacen referencia a la parte técnica, formularios e email marketing. Como cada empresa tiene sus particularidades, debería buscar más información o consultar con un experto en este tema para cumplir con la ley al 100% y no dejar cabos sueltos o, al menos, ser consciente de ese cabo suelto.

Indicar que muchas de estas premisas ya las exigía la LOPD por lo que, si estabas ya al día en el cumplimento de la ley, tendrás menos trabajo para la adaptación.

Adaptar los formularios eliminado todos los checkboxs marcados automáticamente

En todos los formularios presentes en la tienda, registro, newsletter, proceso de compra, comentario de producto, etc. deberemos tener una casilla de consentimiento que el cliente deberá hacer click obligatoriamente para que el formulario sea enviado. No sirve el típico . “Al enviar este formulario acepta nuestra política de privacidad”. Eso pasó a la historia hace tiempo.

Conjuntamente se añadirá una capa de información con los principales aspectos del tratamiento de datos:  Responsable, Finalidad, Legitimación, Destinatarios, Derechos y Información adicional. En esta primera capa se mostrará un enlace a una segunda capa, página de política de privacidad, donde el usuario podrá ampliar la información. En otro post sobre RGPD se informaba de ello.

Eliminar todas las suscripciones automáticas

Si un cliente realiza un pedido, no sele debe enviar emails no transaccionales si no lo ha marcado explícitamente. O si ha realizado un pago como invitado está prohibido guardarlo como cliente registrado.

Adecuar/actualizar la política de privacidad

Debemos indicar que cumplimos y nos sometemos al RgPD.

Debes especificar qué información recogemos de los usuarios (por ejemplo, sus direcciones IP, desde qué tipo de dispositivo navegan, cookies, duración de la visita y páginas visitadas, su email, teléfono, nombre, dirección de envío y dirección de facturación, etc.)

Especificar quién, además de usted, tiene acceso a la información que guardas de tus usuarios (como por ejemplo Google, Mailchimp, Disqus…) Todos ellos son destinatarios de la información de tus usuarios y deben quedar consignados en tu Política de Privacidad.

Especificar la identidad del responsable de la gestión de los datos personales (puede ser un delegado en tu nombre).

Especificar que los usuarios tienen derecho a solicitar al responsable el acceso a los datos personales que hayan facilitado, a su rectificación o supresión, a la limitación de su tratamiento o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.

Especificar la finalidad que vas a dar a los datos recogidos, y durante qué plazo vas a guardarlos.

Por último, si hay procesos automatizados como por ejemplo meter a un usuario en un segmento u otro de tu lista según qué acciones hayan realizado, esto debe estar explicado, siempre que vaya a tener consecuencias jurídicas para el afectado (si tienes dudas sobre esto, ya sabes, consulta con un experto).

El GDPR (General Data Protection Regulation), RGPD (Reglamento General de Protección de Datos de la UE) O LGDP (Ley general de protección de datos) son un conjunto de regulaciones creadas para regular la gestión y el tráfico de datos en el marco de la Unión Europea.

¿Cuándo entra en vigor?

El nuevo reglamento ha entrado en vigor el 25 de mayo de 2016, pero no será hasta el 25 de mayo de 2018 cuando tenga que aplicarse de forma obligatoria.

¿Y por qué es un hito con respecto a otros reglamentos o directivas anteriores?

Porque unifica las normas de protección de datos a nivel europeo, consolide los derechos de los usuarios de toda Europa y establece nuevas obligaciones para todas las organizaciones/empresas que ofrecen bienes y servicios en Europa.

La aplicación de esta nueva normativa RGPD afecta a empresas europeas y a empresas internacionales que trabajen con datos de usuarios residentes en la UE.

Así mismo, mientras que la anterior Directiva 95/46/CE que regulaba la protección de datos en los estados miembros dejaba margen de actuación a a cada país miembro, el nuevo Reglamento es de aplicación directa (pasa a ser normativa interna desde el momento en que entra en vigor), sin que sea necesario ningún trámite previo de adaptación.

La nueva normativa de la UE no deroga la LOPD (actual)

El Reglamento de la UE no deroga automáticamente la LOPD, simplemente anula las medidas que resulten incompatibles. Siempre y cuando no existan medidas incompatibles ambas normativas podrán convivir en el futuro.

¿Cómo nos afecta como usuarios?

1. Tu consentimiento para proporcionar tu información debe ser explícito.Ahora hay que dar un consentimiento ( no se admite el consentimiento tácito como con la LOPD) a las empresas mediante una aprobación muy clara.
2. Las empresas tienen derecho a recopilar lo estrictamente necesario. Por cada Newsletter o promoción por SMS, las empresas sólo necesitan tu email o tu número (que tú habrás aceptado enviarles).
3. Puedes pedir que se transfieran todos tu datos. Se permitirá al ciudadano solicitar la transferencia de datos de un proveedor de servicios de Internet a otro.  (y que el antiguo la borre definitivamente)
4. Puedes solicitar que tus datos sean borrados en cualquier momento. LLamado derecho al olvido, se puede revocar el tratamiento de datos en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
5. 15 años: la edad legal para inscribirse en redes sociales sin autorización de los padres. 15 años será la edad mínima para que los menores puedan consentir por sí solos el tratamiento de sus datos personales online
6. Posibilidad de acción colectiva frente a la justicia. Si sientes que se ha violado alguno de los derechos relativos de la protección de tus datos personales puedes llevar a cabo una acción judicial colectiva (“class action”)
7. Sanciones a las empresas. Para las empresas que no cumplen con la normativa, el riesgo de hacer frente a una sesión es alto, hasta 20 millones de euros o un 4% de su facturación mundial anual.
8. El responsable del fichero puede exigir un canon  por los costes administrativos de atender la petición.

Soy una empresa, ¿cómo me afecta la llegada de la RGPD?

1. Responsabilidad proactiva. Las empresas deben realizar un análisis de los procesos de tratamiento de datos.
2. Valoración adecuada de los riesgos. Necesidad de una evaluación de impacto de los los posibles daños y la probabilidad que tienen de producirse especialmente cuando se tratan de datos que tienen que ver con política, orientación sexual o salud.
3. Identificar un responsable. Persona que toma las decisiones sobre la finalidad y destino de los datos
4. Especificar la finalidad. Hay que conseguir el consentimiento para cada fin de los datos e informar en el caso de elaboración de los perfiles.
5. Declarar la legitimación. La base legal del tratamiento de datos ha de ser la adecuada.
6. Destinatarios. Si se van a ceder los datos a terceros, el usuario deberá ser informado.
7. Derechos de accesos, rectificación, supresión portabilidad de sus datos
8. Muy recomendable que las organizaciones cuenten con un delegado de protección interno o externo (DPO) que asista a las organizaciones en el proceso de cumplimiento normativo.

Para proteger nuestro backend de hackers, ataques de fuerza bruta y cotillas indeseados es muy recomendable cambiar la url de acceso del admin.

Esto es debido a que Magento y otros CMS establecen la URL del administrador a una ruta por defecto.

En el caso de Magento es /admin, por ejemplo http://www.midominio.es/admin/.

Para WordPress sería /wp-admin, por ejemplo http://www.midominio.es/wp-admin/.

Esto que estamos diciendo no es algo top secret y es conocido por todo el mundo. Incluyendo a bots y crackers que intentarán por fuerza bruta hacer miles de intentos hasta lograr con la combinación que les abra las puertas del administrador.

Por este motivo y tras un Shoplift bug reportado en 2015 Magento desarrolló un parche de seguridad ( SUPEE-5344) junto a una serie de buenas prácticas de seguridad para ponérselo un poco más difícil a los intrusos.

Entre esa buenas prácticas, Magento recomienda usar una url personalizada para el backoffice en vez de la que él establece por defecto (/admin) en la instalación y que sea sólo conocida por las personas necesarias. Esto reduce la exposición de nuestros datos más valiosos como clientes, productos, pedidos, tarjetas de crédito y que se pueda tomar el control de la tienda remotamente.

Como cambiar la URL del admin en Magento 1

Magento 1 permite este cambio directamente desde la configuración pero se recomienda hacerlo modificando ficheros por su eficacia y generación de menos sudores fríos.

Abrir el archivo local.xml situado dentro del directorio app/etc. Dentro del nodo <admin>

encontrarás la sección:

<frontName><![CDATA[admin]]></frontName>

Deberemos cambiar el argumento ‘admin’ por la ruta que deseemos en minúsculas y sin espacios.

Por ejemplo

<frontName><![CDATA[mibackend]]></frontName>

Guardamos el fichero. Lo subimos al servidor si lo estamos editando fuera de él y borramos la caché de una de las siguientes formas:

• En el admin, desde Sistema – Gestor de la cache  y hacemos click en el botón Flush Magento Cache.
• Borrando el directorio /var/cache del servidor.

Como cambiar la URL del admin en Magento 2

No es recomandable cambiarlo directamente desde el archivo de configuracon app/etc/env.php.

Método Admin

1. En el admin, vamos a Tiendas -> Configuración -> Avanzado -> Admin y dentro de la sección Admin Base URL section.
2. En Custom Admin Path le decimos que sí y en Custom Admin Path añadimos el path. Este patch será añadido a la variable Custom Admin URL configurable en la misma sección.
3. Borramos la caché.

Método SSH

Conectamos via SSH, vamos al root y ejecutamos el siguiente comando:
php bin/magento setup:config:set –backend-frontname=»miadmin»
Donde miadmin es la nueva ruta.

Por poner una ejemplo si nuestra contraseña es ‘LaP1)3Iz0’, intentarlo con ‘lap1)3iz0’ no funcionará si el login es sensible a mayúsculas.

Vamos a ver los pasos a seguir para que el login de Magento sea sensible a mayúsculas o minúsculas.

Magento 1

1. Acceder al admin.
2. Ir a Sistema (System).
3. Seleccionar la opción ‘Configuración’ (Configuration).
4. Ir a avanzado (Advanced) >> Admin.
5. Seleccionar la opción Seguridad (Security).
6. Cambiar ‘Sensible mayúsculas’ a  Sí (Login is Case Sensitive’ a Yes) .
7. Guardar configuración.

Magento 2

1. Acceder al administrador
2. Ir a Tiendas (Stores)
3. Seleccionar la opción ‘Configuración’ (Configuration).
4. Ir a avanzado (Advanced) >> Admin.
5. Seleccionar la opción Seguridad (Security).
6. Cambiar ‘Sensible mayúsculas’ a  Sí (Login is Case Sensitive’ a Yes) .
7. Guardar configuración.

Lanzado el 20 de Enero (SUPEE-7405 v1.0). Este parche es un paquete de parches que cierra varios problemas de seguridad que pueden derivar en robo de información de clientes o tomar control de sesiones dentro del administrador.

En Febrero se lanzó la segunda versión, SUPEE-7405 v1.1, que soporta PHP 5.3 y resuelve ciertos errores de la versión anterior. Si no has instalado la nueva versión deberías instalar previamente la primera si tu versión de Magento es menor a 1.9.2.3.

Magento 1.9.2.3 ya incluye SUPEE-7405 v1.0 y 1.9.2.4 ya incluye SUPEE-7405 v1.1

Parche SUPEE-6788

Notificado en Octubre de 2015. El parche SUPEE-6788 es un subconjunto de parches que resuelve más de 10 problemas de seguridad incluyendo ejecución de código remota y robo de información vulnerable. Aunque no hay noticias de ataques conocidos, Magento alerta de su peligro.

De los parches de seguridad lanzados hasta el momento este es el que más problemas puede darte por lo que es más recomendable todavía testearlo previamente en un entorno de desarrollo.

Esto es debido a que afecta a extensiones y personalización añadidas que hacen gran uso de variables personalizadas y rutas del admin (usan <use>admin</use>» en vez de  «<custom_module after=»Mage_Adminhtml»>CustomModule_Adminhtml</custom_module>). Sobre un 80% de  extensiones han sido detectadas que fallan despues de añadir el parche. Por lo tanto, es necesario actualizar todas estas extensiones que no funcionen, eliminar las que no se usen y pedir nuevas versions funionales a los desarrolladores de la extension.

Para que el parche tenga efecto 100% es necesario deshabilitar el enrutamiento seguro.  Esto se hace dentro del administrador en Sistema – Configuración – Administrador – Seguridad – Modo compatible con rutas de extensión.

La versión 1.9.2.2 incluye este parche por lo que también puedes realizar una actualización vía Downloader.

Puedes encontrar más info del parche en http://magento.com/security/patches/supee-6788 y https://magento.com/security/patches/supee-6788-technical-details

Parche SUPEE-6482

Notificado en Agosto de 2015, este parche es una medida preventiva ya que no se conoce ataque producido al respecto. Este parche de seguridad tapa ciertas vulnerabilidades para Magento Community. Éstas están relacionadas con el API de Magento, la inclusión de código arbitrario en el request y el escalado de privilegios en el caso de obtención de datos. Este problema solo afecta a servidores y configuración de PHP específicos pero es recomendable prevenirla.

También elimina cross-site-scripting al tapar la posibilidad de que los atacantes roben cooies para hacerse pasar por usuarios y engañar a otros hagan click en enlaces maliciosos.

Parche SUPEE-6285

Añadido en Julio de 2015, este paquete da protección contra varios tipos de inseguridades como ataques por inyeccion, identificaciones fraudulentas o cross-site scripting.

Principalmente previene que potenciales atacantes puedan acceder como administrador al último feed con los pedidos recientes, feed que contiene información personal que pueda ser usada fraudullentamente para obtener más información o para posterirores ataques. Tambien tapona una serie de agujeros de seguridad relacionados con cross-site scripting (XSS), cross-site request forgery (CSRF) o permisios ACL para extensiones de terceras partes.

Como decía uno de los principales problemas que soluciona es la inyección de código a través de la plantilla o la obtención de datos sin permiso. Por ello el parche modifica los siguientes archivos de la plantilla base de Magento:

• app/ design/ frontend/ base/ default/ template/ checkout/ cart.phtml
• app/ design/ frontend/ base/ default/ template/ checkout/ cart/ noItems.phtml
• app/ design/ frontend/ base/ default/ template/ checkout/ onepage/failure.phtml
• app/ design/ frontend/ base/ default/ template/ rss/ order/ details.phtml
• app/ design/ frontend/ base/ default/ template/ wishlist/ email/ rss.phtml
• app/ design/ frontend/ default/ modern/ template/ checkout/ cart.phtml

Después de aplicar el parche, es necesario revisar si algunos de los anteriores archivos está en nuestra plantilla personalizada. De estar, tendremos que comparar y pasar el código que ha modificado el parche a nuestra plantilla para que estemos protegidos.

A la hora de instalar este parches hay que estar seguros que está instalado el anterior, SUPEE-5994.

Notas:  la versión 1.9.2 incluye la última versión del parche por lo que no haría falta instalarlo. Si se ha instalado la primera versión de este parche para la versión 1.9.1.1 habrá que revertir el parche (v1) e instalar la nueva versión (v2).

Parche SUPEE-5994

Magento anunció en Mayo de 2015 un nuevo parche de seguridad para prevenir potenciales ataques recomendando su inmediata implementación.

Este parche, denominado SUPEE-5994, realmente es un paquete de 8 subparches que corrige varias funcionalidades del núcleo susceptibles de ser atacables y que han sido descubiertas por el programa de seguridad multi-punto.

¿Que problemas se han descubierto?

• Los atacantes podrían descubrir la URL de login del panel de admon.
• Posibilidad de obtener información de los usuarios a través de sus direcciones guardadas en la tienda.
• Posibilidad de obtener información de los usuarios e información de pago nutriéndose de los recurring profiles.
• A través de URL de imágenes ficticias se podrían generar excepciones que conllevan a errores internos del servidor.
• Ejecución de Javascript a través del Magento Connect Manager que puede derivar en instalaciones de extensiones maliciosas.
• Modificación, exportación de datos o ejecución de código remoto al exportar información a través de hojas de cálculo.
• Ejecución de Javascript en el contexto de las sesiones de los usuarios para el robo de información.
• Posibilidad de instalación de extensiones maliciosas.

En resumen, los atacantes pueden obtener acceso a la información de los clientes de la tienda de forma fraudulenta y ejecutar código malicioso.

Todas las versiones de Magento Community Edition están afectadas y es posible descargar el parche para las versiones 1.4.1- 1.9.1.1 desde la página oficial de Magento cuyo enlace viene al final del post.

Importante: Este parche debería ser instalado como complementación de los anteriores “shoplift patchs” denominados SUPEE-5344 y SUPEE-1533.

Parche SUPEE-5344

Esta vulnerabilidad sobre la ejecución remota de código (RCE) fue publicada por Check Point® (empresa dedicada a la seguridad en Internet) a finales de enero de 2015. La vulnerabilidad afecta tanto a Magento Enterprise Edition como Magento Community Edition y permite a los atacantes obtener, saltándose los mecanismos de seguridad, el control sobre una tienda y tener información a datos sensibles, incluyendo la información personal de los clientes, bases de datos, etc. También puede afectar a los números de tarjeta de crédito en el caso de que estuvieran almacenados en la plataforma, cosa que no suele ser habitual y no se recomienda a priori. Para prevenir estos problemas Magento emitió un parche para este problema el 9 de febrero de 2015 denominado SUPEE-5344.

Puedes comprobar la exposición de tu ecommerce usando este enlace  y añadiendo tu ruta para el admin.

Auditoría manual para saber si mi sitio ha sido asaltado:

• Revisar las cuentas de administrador creadas dentro del panel e eliminar las sospechosas.

• Comprobar si en la instalación de Magento hay archivos recientes desconocidos o sospechosos.

• Chequear permisos ocultos y permisos de archivo incorrectos.

Si encuentra indicios de que su servidor/plataforma ha sido atacada póngase en contacto con su empresa de hosting.

Nota: Magento ha sacado la nueva version 1.9.1.1 que ya incluye este parche por defecto.

Parche SUPEE-1533

Repara dos potenciales vulneraciones por ejecucion de codigo remoto. Disponible desde el 3 de Octubre de 2014. Si el atacante tenía un acceso al administrador, las vulnerabilidades permiten:

• Permitir a un atacante ejecutar código en el servidor.

• Mediante un fichero  .csv  encapsulado se podían modificar los permisos de directorios ( por ejemplo 777).

Afecta a todas las versiones Magento Community Edition (CE) y Enterprise Edition (EE) así como a los sistemas operativos CentOS 5.x and 6.x y RedHat Enterprise Linux 5.x and 6.x

Todo responsable de tienda online basada en Magento o en cualquier CMS Open Source debería añadir los parches, o actualizar a la versión pertinente, que van saliendo así como estar pendiente de las novedades en este aspecto para estar lo más prevenido posible y no “dejar la puerta abierta” a intrusos.

Si usas sistema de cache PHP como APC/XCache/eAccelerator  regenérala después de parchear o reinicia el servidor web.

Puede descargar todos los parches en https://www.magentocommerce.com/products/downloads/magento/

Como instalar un parche en Magento Community http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

Si necesita ayuda para proteger su tienda puedes usar el formulario de contacto.