Biztonsági rés a Prestashop-okban – itt a javítás

Egy új, 1.4.x-től az 1.6.0.14-es verzióig terjedő (tehát az új 1.6.1.0 már megbízható) biztonsági rést fedezett fel pár hete Vincent Herbulot IT Biztonsági Szakember, melyről egyből értesítette a Prestashop illetékeseit. Köszönjük Neki! 🙂

A Prestashop azonnal reagált és nem rég közzé tettek egy modult, mely befoltozza a biztonsági rést, valamint a “kódolósabbaknak” magát a javítandó forráskódrészleteket is.

prestashop_biztonsagi_res

A modult INNEN tudjátok letölteni, a forráskódot pedig ITT tudjátok tanulmányozni.

A modul feltelepítésénél és aktiválásánál több dolgot nem kell tenni. A hivatalos bejelentés a Prestashop Blog-ban jelent meg, melyet ITT olvashattok. Ezen kívül a Blog egy másik hivatkozó cikkében szó van az általános 4 fő biztonsági tanácsot tartalmazó gondolatmenetről is, ITT tudjátok elolvasni.

Magyarul, röviden és tömören ezek a következők:

1. Lehetőségeid szerint mindig frissítsd a shopod, ne hagyd, hogy túl régi motor alatt üzemeljen az áruházad,
2. Védd külön jelszóval az admin könyvtáradat .HTACCESS fájl segítségével (erről ITT olvashatsz angolul, magyarul pedig ITT),
3. Használj erős jelszót az admin felületedhez (számok, kisbetűk-nagybetűk keveréke), és végül
4. Amennyire lehetséges, változtasd meg az admin URL-t. Jelenlegi rendszer alapján az admin URL “admin”+ néhány szám és betű (bizonyos verziókban csak szám), de legbiztosabb, ha valami teljesen egyedi elérést adsz neki.

Több shop-ból kaptam visszajelzést, miszerint a modul telepítés után az alábbi hibaüzenetet adja:

The security update could not be applied to your shop. The module cannot execute the patch on your server configuration.
Please check the details below for each update to see how you can implement the patch on your shop.”

A Prestashop Fórum ide vágó topikja szerint legalább két oka lehet a hibaüzenetnek; az egyik, hogy a szerveren ki kell kapcsolni a “safe_mode”-ot a php.ini beállításokban (a képen bekapcsolt állapotban látható):

safe_mode_prestashop

A másik, hogy esetleg nem a generáció utolsó stabil verziója van fent (tehát például 1.5.3.1 van fent 1.5.6.2 stabil helyett).

A cikket a tapasztalatok alapján folyamatosan frissíteni fogom.

Ha segített a cikk, meghívhatsz egy kávéra! 🙂


Puizl Attila Programozó

Az íróról: Puizl Attila

Puizl Attila vagyok, több éve készítek sikeres Webáruházakat Prestashop rendszerrel. Célom hogy a tudásom minőséggé, munkám pedig eredményessé váljon.

Weboldal: → Prestashop Készítés és Fejlesztés

Még megtalálsz:

A fenti hibaüzenetet kapta ma rengeteg Prestashop tulajdonos és webmester az e-mail fiókjába, illetve üzenetként a Google Search Console-ba (régi Google Webmaster Tools).  Mi történt? A Google indexelőrobotja azt észlelte, hogy különbség van az Ő által látott tartalom és a felhasználó által látott weboldal között. Mivel ez ferde és hamis…
Az 1.6.0.9-es Prestashop-ban találkozhatunk olyan problémával, ahol rákattintva az adminbeli rendelések "export" gombra, egy "oldal nem található" lapra landolunk. Developer módot bekapcsolva azonban már egy fokkal többet tudunk meg a hibáról. A szóban forgó .csv letöltődik, de a tartalma nem az áhított rendelések, hanem ez: "<b>Fatal error</b>:  Call to a…