חדשות מג'נטו

זהירות מתוספי מג'נטו בעלי דלתות אחוריות

אחת האמונות הרווחות בקרב מנהלי אתרי מג'נטו הינה שהאקרים לרוב משתמשים בפרצות אבטחה או גניבת אישור כניסה לאתר על מנת לבצע את המתקפה. על אף שאלו אכן שניים מווקטורי ההתקפה הנפוצים יותר, יש לציין כי שיטה נוספת, מסוכנת לא פחות, הינה פריצה לאתר מג'נטו על ידי התקנת דלת אחורית באתר ושימוש בה לצורך ביצוע גישה בלתי מורשית לקבצי האתר / בסיס הנתונים שלו או ניהול תוכן האתר.
 
 
תוספי מג'נטו אינם זולים, על אחת כמה וכמה תוספי פרמיום. האקרים אשר פורצים תוספי מג'נטו עשוים להציע באמצעות אתרי צד ג' שכמובן אינם מאומתים על ידי קהילת מג'נטו, הורדה "חינם" של תוספי מג'נטו הפרוצים. מה שמשתמשי מג'נטו עלולים לא להבין, הוא כי "בחינם" עלול להגיע עם תג מחיר כבד של פגיעה באבטחת האתר, כאשר האקרים ינצלו את קוד התוסף שברשותם על מנת לכלול קבצים זדוניים, קטעי קוד ונוזקות בגירסה הפיראטית. למרות שלא כל התוספים הפיראטיים כוללים דלתות אחוריות, האקרים לעיתים קרובות רואים בתוספים פיראטיים כהזדמנות מצוינת להפצת נוזקות או הפצת תכנים פוגעניים או קישורים לאתרים. חשוב להבין כי שימוש ברכיבים פיראטיים טומן בחובו השלכות אבטחה חמורות, כאשר איתור דלתות אחוריות הינו קשה מאד ועד לאיתורן, עלול כבר להיות מאוחר מדי.
 
ברגע שספקי רכיבים "חינמיים" / פיראטיים משיגים גישה לניהול אתר מג'נטו דרך דלת אחורית, הם יכולים בקלות לפרסם תוכן משלהם בכל עת על ידי שינוי בסיס הנתונים. האינטרס של ההאקרים הינו לשמור על הדלת האחורית פתוחה ונגישה כמה שיותר זמן, כך שאפילו יוכלו לתמרן את ממשק הניהול ולהסתיר תכנים משלהם שהטמיעו באתר. נוסף על כך, האקרים עלולים להתקין בקלות בדרך זו דלתות אחוריות נוספות באתר, כך שאם אחת מתגלה, הם עדיין יוכלו להמשיך להשתמש באחרות ללא הפרעה.
 
הדרך הטובה ביותר להימנע מסוג זה של סיכון אבטחה הינה לא להשתמש בתוספי מג'נטו שאינם מאומתים על ידי קהילת מג'נטו, לא להוריד תוספים "חינמיים" ולא להתפתות להשתמש בתוספים פרוצים / פיראטיים.