Aki ezt a bejegyzést olvassa vagy már büszke Magento 2 webáruház tulajdonos vagy éppen ezzel a rendszerrel szeretne dolgozni, vagy épp feltörték a Magento rendszerét és a neten keresgél a témában. Nos mint minden nyilt forráskódú rendszert (WordPress, Drupal, Magento stb..), sok gonosz kis hacker támadja és töri őket. Ebben nincs semmi meglepő mindig is voltak munkakerülő ingyenélők akik, inkább feltörnek rendszereket és adatokat lopnak el és azzal csalnak. Nem szép dolog tegyük hozzá, de azért védekezni nem árt ellenük.
A Magento rendszereknek is van támogatási idejük, amíg azt az Adobe támogatja. Egy idő után azonban elkerülhetetlen a frissítés, mert változik a futtató környezet mindenhez megjelennek biztonság frissítések. Azt hogy az egyes verziók, meddig élveznek támogatást itt lehet megnézni: https://devdocs.magento.com/release/lifecycle-policy.html
A régebbi verziók, amik nincsenek az oldalon már annyira elavultak, hogy azonnali frissítést igényelnek de a régebbi verziók támogatottsága itt olvasható el.
Jójó van Magento rendszerem de a fejlesztők azt mondták, hogy minden rendben van vele. Hogyan tudom ellenőrizni mi a valós helyzet?
Ehhez regisztrálni kell egy Adobe fiókot itt: https://account.magento.com/applications/customer/create/
Ezután el kell látogatni ide: https://account.magento.com/customer/account/ Ki kell választani a Security Scan opciót alul a bal oldali menüben. Ahonnan el lehet jutni ide: https://account.magento.com/scanner/websites/grid/ oldalra.
Ezen a ponton tudjuk felvenni a webshopunkat és biztonság ellenőrzést tudunk vele készítettni a a Magento telepítésünkön. Ehhez a webshopunkban be kell állítani egy HTML META taget amit az oldalról kell kimásolnunk. Ezt a META taget, Magento webáruházunk admin felületén a Content > Design > Configuration -> Website nézet kiválasztása után a jobb oldali oszlopban az “Edit” feliratot megnyomva eljutunk egy felületre. Ezen a felületen meg kell keresni a HTML Head szekciót és “Scripts and Style Sheets” űrlap elemnél be kell tenni a kódot. Lenyomni a mentést majd törölni a Magento Cache-t. Ekkor a kód bekerül az oldalba és kérhető rá a security scan.
Érdemes megadni egy email címet, amire kimegy a scan értesítése és ezt heti rendszerességre beállítani. Biztonsági okokból a jelentés a weboldalra bejelentkezve tölthető le, emailben nem kerül kiküldésre mert az újabb biztonsági kockázat.
Ha nem a legfrissebb Magento 2.4.x verziót használjuk akkor bizony biztos lesz a Reportban valami hiba.
Azt mondják, hogy nagyon friss a Magento rendszerem verziója. Hol tudom ezt megnézni?
Azt Magento 2 rendszerben admin felületre belépve a jobb alsó sarokban kiírja neked a rendszer. Itt vannak az aktuálisan támogatott verziók és a rendszer igényeik. A webáruházad verzió számából és ebből a listából meg lehet határozni, hol áll a te shopod valójában: https://devdocs.magento.com/guides/v2.4/install-gde/system-requirements.html
Hát nem a legfrissebb az oldalam, mit tehetek?
Sajnos Magento 2 verziónként eltérő lehet az igényelt futtató környezet ezért a frissítés nem csak egy 10 perces Install Updates parancs kiadása, ennél sokkal bonyolultabb egy rendszer frissítése. Amit bonyolít a sablon és a beépített modulok által támogatott futtató környezet is. Pl.: hiába akarok Magento 2.4.5-re frissíteni PHP8.1 alapra ha van egy Bankkártyás fizető modulom ami csak PHP7.4-et támogatja. Ehhez kell egy fejlesztő vagy egy egész csapat aki átnézi a teljes oldalt és szükség esetén frissíti a sablont vagy a modulokat. Ez egy elég nagy munka is lehet főleg nagy shop esetében, amiben sok modul van. Természetesen nem elég csak a Magento-t frissíteni az éles környezeten az egyes futtató környezetbeli komponeneseket is frissíteni kell. Tehát mondjuk a PHP7.4-et PHP8.1-re stb…
A frissítés mellett a Magento rendszerhez léteznek biztonság frissítések Patch formájában, ezeket addig adják ki, amíg az aktuális szoftervezió támogatva van.
https://magento.com/security/patches
A Patchek alkalmazásával a problémák elfedhetőek, de ha a Magento 2 verziója már nincs támogatva a biztonság frissítések sem jelennek meg hozzá. Kivéve, ha nagyon kritikus a hiba, de erre nem lehet alapozni.
Ezeket a Patcheket hozzáértő szakemberek tudják beépíteni a shopba ami után ugyancsak tesztelni kell a webáruházat.
Áhh kifizettem egy rakat pénzt a shopért, úgysem fognak feltörni engem, nem vagyok én akkora webshop.
Dehogynem mint a sicc észre sem veszed, csak amikor már jön a reklamáció, de akkor késő lesz. Így több éves brandbe, webshopba ölt befektetés könnyen kukázható lesz, ami azért fájdalmas tud lenni. Nem szabad spórolni ilyesmin. Egyszer történik meg valakivel, de akkor sokba fog fájni a probléma javítása. Mindemellett ha 3-4 évig nem volt frissítve az oldal, akkor a 3-4 évnyi elmaradt frissítést kell egybe megcsinálni ami megint csak egyszeri de nagy kiadás lesz.
Magento 2, Symfony PHP keretrendszer, webshop, webáruház fejlesztői és üzemletetői blog 