Magento lek SUPEE-5344 Ook wel shoplift genoemd) is aanwezig in alle versies van Magento, dus zowel Magento Community als Magento Enterprise shops hebben hiermee te maken. Via dit lek kunnen gegevens uit de Magento installatie gehaald worden of backdoors geplaatst worden dus het is belangrijk dat snel gepatched wordt!
In dit artikel leggen we uit hoe je door middel van enkele stappen de juiste patch voor jouw Magento versie installeert.

Let op! Gebruikers van Magento Enterprise Edition dienen zich aan te melden en de patch te downloaden via het Magento Support Portal.

Stappenplan installeren van de juiste patch

Het downloaden en installeren van de patch kan alleen worden gedaan via SSH. Onder het kopje “patches per versie” staan de verschillende patches genoemd.
Hieronder wordt uitgelegd hoe je jouw patch kunt downloaden en installeren:

Stap 1. Log in op SSH

Log in op SSH (shell) met je inloggegevens. Meer informatie over inloggen op de SSH server wordt uitgelegd in het artikel Shell.

Stap 2. Download de patch

Download de juiste patch voor jouw shop. Je moet hierbij kijken naar de versie waar je gebruik van maakt.
Om de patch de downloaden gebruik je twee commando’s: cd en wget. Het commando cd navigeert je naar de root map en wget zorgt ervoor dat de patch wordt opgehaald en gedownload.

Voor versie 1.4.0.x tot 1.5.0.x:

cd JOUWDOMEINNAAM.NL && wget http://tools.byte.nl/magpatch/PATCH_SUPEE-5388_CE_1.4.0.0-1.5.0.1_v1.sh

Voor versie 1.5.1.x:

cd JOUWDOMEINNAAM.NL && wget http://tools.byte.nl/magpatch/PATCH_SUPEE-5390_CE_1.5.1.0_v1.sh

Voor versie 1.6.0.x:

cd JOUWDOMEINNAAM.NL && wget http://tools.byte.nl/magpatch/PATCH_SUPEE-5341_CE_1.6.0.0_v1.sh

Voor versie 1.6.1.x tot 1.6.2.x :

cd JOUWDOMEINNAAM.NL && wget http://tools.byte.nl/magpatch/PATCH_SUPEE-5346_CE_1.6.1.0_v1.sh

Voor versie 1.7.x.x :

cd JOUWDOMEINNAAM.NL && wget http://tools.byte.nl/magpatch/PATCH_SUPEE-5345_CE_1.7.0.2_v1.sh

Voor versies 1.8.x tot 1.9.x :

cd JOUWDOMEINNAAM.NL && wget http://tools.byte.nl/magpatch/PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh

Voor Hypernode gebruikers

Wanneer je een shop op ons Magento platform Hypernode hebt staan, gebruik je i.p.v. JOUWDOMEINNAAM.NL de locatie public. Hier staat namelijk jouw Magento installatie. Het commando wordt dan bijvoorbeeld als volgt:

cd public && wget http://tools.byte.nl/magpatch/PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh

In het voorbeeld hierboven wordt de patch voor versie 1.8.0.0 gebruikt. Let goed op dat je de juiste patch installeert!

Stap 3. Installeer de patch

Om de patch uit te voeren vul je het volgende commando in voor jouw versie:

Voor versie 1.4.0.x tot 1.5.0.x :

bash PATCH_SUPEE-5388_CE_1.4.0.0-1.5.0.1_v1.sh

Voor versie 1.5.1.x :

bash PATCH_SUPEE-5390_CE_1.5.1.0_v1.sh

Voor versie 1.6.0.x :

bash PATCH_SUPEE-5341_CE_1.6.0.0_v1.sh

Voor versie 1.6.1.x tot 1.6.2.x :

bash PATCH_SUPEE-5346_CE_1.6.1.0_v1.sh

Voor versie 1.7.x.x:

bash PATCH_SUPEE-5345_CE_1.7.0.2_v1.sh

Voor versies 1.8.x tot 1.9.x :

bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh

Stap 4. Caches legen

Wanneer je de patch hebt geïnstalleerd, leeg je de caches. Dit kun je doen via het Service Panel. In het artikel Caching wordt uitgelegd hoe je dit kunt doen.

Stap 5. Controleer je site

Je shop is een tijd lang onveilig geweest. Dit betekent niet gelijk dat je shop/site is gehackt, maar het is wel belangrijk dat je hier goed op controleert na het patchen van je shop en het legen van de caches.
Wijzig al je wachtwoorden en spoor schadelijke en recent gewijzigde bestanden op in je shop. Meer informatie over hoe je verdachte bestanden opspoort, wordt uitgelegd in het artikel Schadelijke Bestanden Opsporen. Meer informatie over wat voor soort wachtwoorden je hebt en hoe je ze kunt wijzigen wordt uitgelegd in het artikel Alles Over Wachtwoorden.
Wijzig het admin path (dit is de url waar je naar toe gaat wanneer je wilt inloggen op de Magento backend). Hoe je dit doet wordt uitgelegd in het artikel Magento beschermen tegen een Brute Force aanval onder de kop Wijzig pad naar Administrator. Vind je admin users in je Magento die niet door jou zijn aangemaakt? Verwijder deze dan ook.

Patches per versie

Op de downloads pagina van Magentocommerce zijn patches beschikbaar gesteld voor de verschillende versies van de Community Edition. Omdat deze pagina stevig bezocht wordt en daarom niet altijd bereikbaar is, hebben we zelf de patches ook beschikbaar gesteld via tools.byte.nl. De patches verschillen per versie:

Magento versie:

De x-jes in de versie nummers geven aan dat de patch geldt voor alle versies in die serie. Weet je niet van welke versie je gebruik maakt? Controleer het in Magereport (premium) of in je Magento backend, helemaal onderaan de pagina.

Hulp nodig?

Indien je geen ervaring hebt met SSH (shell) en hierdoor de beveiligingspatch niet kunt installeren, raden we je aan om even contact op te nemen met de Technisch Beheerder van je website. Heb je geen Technisch Beheerder, raadpleeg dan één van onze Magento partners die je hiermee kunnen helpen.

FAQ

Ik krijg een Hunk failed melding,wat moet ik doen?

Deze melding geeft aan dat de patch die je probeert uit te voeren niet werkt voor jouw Magento versie. Dit is een vervelend probleem, waarbij we je helaas niet kunnen helpen. Magento stelt namelijk de patches beschikbaar en wij maken gebruik van deze patches. Helaas kunnen we ook de bestaande patches niet voor je aanpassen.

Om er voor te zorgen dat je je Magento shop toch kan beveiligen raden we je aan het Magento forum goed in de gaten te houden of je probleem daar te bespreken. Houdt ook graag de beschikbare downloads op de Magento download pagina van Magentocommerce.com goed in de gaten.

Hoe log ik in op de shell server?

Alleen de Technisch Beheerder van een website heeft toegang tot de shell (SSH) server. Ben je Technisch Beheerder? Controleer dan eerst of shell toegang is ingeschakeld. Dit kun je vinden via het Service Panel. Je gaat hiervoor naar het tabblad Instellingen en daar zie je de knop “Shell Toegang”. Staat daar dat shell staat uitgeschakeld? Dan dien je dit te wijzigen naar Ingeschakeld met SSH Keys en wachtwoord (onveilig). Hiermee geef je aan dat je shell toegang wilt hebben. Wacht na deze handeling 10 minuten met inloggen.

Is shell toegang al ingeschakeld? Controleer of je de juiste inloggegevens gebruikt. De inloggegevens vind je terug in het Service Panel onder tabblad “Instellingen” en vervolgens onder de knop “Shell toegang”. Kijk ook voor meer informatie over hoe je kunt inloggen op de shell server in het artikel Shell.

Ben ik veel tijd kwijt aan het installeren van de patch?

Het daadwerkelijk downloaden en installeren van de patch hoeft niet veel tijd in beslag te nemen. Natuurlijk is het wel belangrijk dat je na het installeren van de patch, goed je site controleert en alles even langsloopt. We raden je aan hier echt even de tijd voor te nemen om er zeker van te zijn dat je site helemaal veilig is! Kijk voor meer informatie over dit onderwerp bij de artikelen Alles Over Beveiliging en Schadelijke Bestanden Opsporen.

Ik weet niet hoe ik de patch moet installeren, kunnen jullie me helpen?

Helaas kunnen wij je niet helpen met deze installatie, maar we hebben echter wel partners die jou hiermee kunnen helpen. Voor een overzicht van onze partners verwijzen we je graag naar onze partner pagina.

Ik krijg een melding in de Magento back-end dat ik de patch moet installeren

Wanneer je de patch al hebt geïnstalleerd, kun je in de back-end van Magento nog steeds deze melding te zien krijgen. Deze is te herkennen aan de oranje balk en uitroepteken. De melding is namelijk naar alle Magento gebruikers gestuurd, zonder dat er is gekeken of je de patch al hebt geïnstalleerd. Je kunt aangeven de melding gezien te hebben en dan zal deze verdwijnen. Heb je de patch nog niet geïnstalleerd? Gebruik dan de stappen uitgelegd in dit artikel om dit alsnog te doen.

20