Bukan (hanya) Magento
Saya telah melihat banyak situs web lain meretas cara ini, memasukkan kode berbahaya ke dalam basis kode, dan tidak hanya di Magento. Dan ada banyak varian: skrip mencuri data POST, skrip menambahkan XSS, skrip yang mencoba mencuri kata sandi root, skrip yang memungkinkan panggilan masuk untuk memproses data (untuk penambangan Bitcoin, mengirim email spam dari server itu), dll ...
Dalam beberapa kasus penyebabnya dicuri kredensial FTP (oleh virus / malware) dari komputer klien dalam kasus lain ia menggunakan exploit dalam aplikasi.
Ada banyak aplikasi lain yang dapat memberikan akses ke server melalui eksploitasi, misalnya WordPress.
Hanya ada satu kasus di mana Magento akan disalahkan dan tindakan dari Magento diharapkan dan itu adalah: jika aplikasi yang dieksploitasi adalah Magento dari versi terbaru dan sepenuhnya ditambal.
Jadi hanya ada sedikit kemungkinan kasus yang disorot ini disebabkan oleh kesalahan di Magento sejak awal. Itu sebabnya Anda tidak mendengar apa pun dari Magento.
Hal baru di sini adalah bahwa kode yang dimasukkan secara khusus menargetkan Magento dan menggunakan arsitektur dan prinsip-prinsip kode Magento.
Apa yang harus dilakukan
Sekarang, berikan jawaban untuk pertanyaan Anda, "Apa yang harus dilakukan terhadapnya?"
Jangan pernah menjalankan dua aplikasi berbeda pada instance server yang sama
Seperti WordPress + Magento. Terkadang Anda melihat WordPress berjalan seperti di www.magentoshop.com/blog/ atau Magento berjalan di www.wordpresswebsite.com/shop/. Jangan lakukan itu. Eksploitasi di WordPress dapat memberikan akses penyerang ke data Magento Anda.
Gunakan Sistem Kontrol Versi
Saya menggunakan GIT dan juga memiliki ini di server (akses baca saja) untuk menyebarkan situs web. Ini juga memberi saya wawasan cepat tentang perubahan pada sistem dengan menjalankan git status
.
Jangan pernah gunakan FTP, hanya SFTP, jangan pernah menyimpan kata sandi yang
saya sebutkan di atas bahwa kata sandi FTP dicuri dari komputer klien. Juga menggunakan FTP tidak aman karena akan mengirim data yang tidak dienkripsi melalui internet. Jadi gunakan SFTP dan jangan pernah menyimpan kata sandi Anda di aplikasi FTP Anda, jangan malas dan ketik setiap kali ketika Anda terhubung ke server Anda.