タグ付けされた質問 「security」

私はいくつかの研究を行ってきましたが、複数の解決策があるようで、それを正しくしたいのです。私のMagentoを1.7.0.2から最新（1.9）にアップグレードする必要があります。サーバーが侵害され、送信メールがスパム送信されたためです。 これを防ぐために最新バージョンのMagentoがインストールされていることを確認するように、ホスティングプロバイダーから言われました。 私の質問ですが、これをアップグレードするための最良の方法は何ですか？悪意のあるファイルに危害を加えたくないので、ローカルマシンには何も保存しないようにしています。 サーバーに「OLD」という名前のフォルダーを作成し、そこにすべてのmagentoファイルを移動してから、Magento 1.9の新規インストールをインストールすることを考えていました。完了したら、必要なファイル（テーマなど）のみを移動して、「OLD」フォルダーを削除します。 これはこれに取り組む最善の方法ですか？local.xml情報を修正する以外に、データベースで何かをする必要がありますか？

7 magento-1.9  magento-1.7  upgrade  security  patches 

CE 1.7.0.0にSUPEE-1533とSUPEE-5344をインストールするのに問題がありました。MagentaryのFTPメソッドを使用してそれを行いました。 質問は次のとおりです。Magentoのインストールですべてのセキュリティパッチが正しくインストールされていることを確認するにはどうすればよいですか？

7 magento-1.7  security  patches  ce-1.7.0.0  ftp 

form_key機能がよくわかりません。私はいくつかのサイトが問題について尋ねて対処しているのを発見しましたform_keyが、その存在の理由を説明したサイトはありません。 誰もがちょうどこの「セキュリティ機能」、例えばこれを回避した 誰かがそれが何にform_key使用されているのか説明できますか？ 編集：わかりました。カートやチェックアウトを超えて、ユーザーデータまたは何かを変更するためのCSRFベクトルを取得します。 しかし、カートへの攻撃の可能性は何でしょうか？

7 ce-1.8.1.0  security  form-key  csrf 

私はかなり標準的なMagentoセットアップであると感じているものを実行します。 rsyncを介してデプロイされます（これはgit pull、scp/ SFTPを使用してデプロイすることもできます。これにより、サーバー構成が単純になり、開発者の作業が容易になります。残念ながら、標準のgitは、実行可能フラグの設定のみを許可し、グループ書き込み可能性のような完全なUnix権限は許可しません） Apacheでの実行 setgidスティッキービットをサポートするマシンでのみ実行 そして、私たちはかなり標準的な目標を持っています： さまざまな顧客対応環境（開発、製品、CIなど）に継続的にデプロイする 開発ボックスに簡単に導入 すべての操作が可能（Magento Connect ManagerまたはMagentoの初期インストールをサポートする必要はありません）Magentoの機能は完全に機能し、すべての主要なプラグインと互換性があります これらの目標の範囲内で、展開する（および開発ボックスとCIボックスをセットアップする）ファイル許可をどのように設定し、許可を（原則として最低限の特権として）可能な限り制限しますか？ 私がすでに見たソースの概要： Apacheユーザーが所有するすべてのファイルと、コアファイル（/mediaおよびを除くすべてのファイル/var）が400に設定された700/600セットアップを推奨するMagento wikiページ。 グループベースの770/660および750/640セットアップの推奨を結論付けることにより700/600アプローチに言及するMagento StackExchangeの回答。 最初に775/664を推奨する別のMagento wikiページ。さらに、必要な権限の説明も含まれていますが、設定を明示的に推奨するものではありません。

7 security  server-setup  permissions  deploy  apache 

最近、magentoインスタンスをデプロイしましたが、ウェブショップはまだオンラインではないため.htaccess、ウェブサイトにパスワード保護を追加しましたが、実際には問題なく機能しましたが、クライアントが彼の製品の画像をアップロードするときに問題が発生しました。 ログインしたユーザーがページにフルアクセスできるが、パブリックにはアクセスできないように、magento機能自体を使用して、開発目的でストア全体をパスワードで保護する方法はありますか？ 私はこのモジュールを見つけましたが、残念ながらmagento 1.8と互換性がないか、インストール方法がわかりません。 手伝ってくれてありがとう！

7 security  access