Cursos Magento

3 novidades do Magento 1.9.4.0 (SUPEE-10975) que você não notou

,

03 de janeiro de 2019

O Magento 1.9.4.0 traz importantes atualizações de segurança para lojistas utilizando Magento 1. De forma geral, ela aplica o patch de segurança SUPEE-10975, patches anteriores, e também o patch de suporte ao PHP 7.2.

Sempre que aplico uma atualização, gosto de ver o que está sendo alterado. Desta forma posso ver se alguma alteração pode impactar em alguma funcionalidade ou customização da loja, e também ver se há alguma alteração significativa no banco de dados (através de scripts de setup 1) para caso um rollback seja necessário.

Os cuidados são parecidos com os cuidados ao instalar um novo módulo, exceto pelo fato que alterações no core da plataforma são esperadas.

Desta vez, algumas coisas me chamaram atenção por terem sido removidas do Magento. Por isso escrevi este artigo.

1 Na seção 8 do curso de criação de Módulos para Magento, vemos como criar scripts de setup.

O que (não) tem no SUPEE-10975 / Magento 1.9.4.0

Esta atualização contém diversas correções  e melhorias para fechar brechas de segurança como execução de código remoto (RCE), execução de scripts cross-site (XSS), requisições forjadas de outros sites (CSRF) e outras vulnerabilidades.

No entanto, 3 mudanças me chamaram muito atenção:

1. Não tem mais CC Salvo

Lembra daquele meio de pagamento “Cartão de Crédito Salvo”? Pois é. Não tem mais.

CC Salvo até Magento 1.9.3.x

Vamos concordar que ninguém em sã consciência e de boa fé ofereceria este meio de pagamento para seus clientes, afinal o objetivo deste meio de pagamento era armazenar os dados do cartão de crédito do cliente em banco de dados para que uma cobrança posterior fosse realizada.

Além de ser altamente inseguro, é uma ofensa às exigências PCI.

O módulo não foi totalmente removido, mas as configurações foram removidas da área administrativa, e desativado por padrão.

Se outro módulo ainda depende dele ou de suas classes, fique tranquilo(a), pois a alteração foi feita contemplando este tipo de cenário.

Esta alteração foi apenas para atender requisitos PCI.

2. A opção de backup sumiu

O módulo Mage_Backup foi desabilitado nesta atualização.

De acordo com as notas de versão, eles teriam implementado algum tipo de criptografia no backup. Como isso não aconteceu, acredito que tenham desabilitado o módulo temporariamente até uma próxima atualização.

Caso você precise muito dele, procure a entrada Mage_Backup no arquivo app/etc/modules/Mage_All.xml e altere para true. Limpe o cache e logue novamente no seu admin.

3. O módulo Mage_Captcha com novas dependências

O módulo Mage_Captcha é responsável pelo desafio captcha nativo do Magento.

Não fui a fundo na descoberta do motivo, mas agora este módulo depende dos módulos Mage_Wishlist (lista de desejos) e Mage_Sendfriend (envie para um amigo).

Muita gente provavelmente desabilita os módulos acima via XML, pois não faz uso da lista de desejos nem do envio para amigo. Isso provavelmente acarretará em um problema a partir agora para quem desativou um destes módulos.

 

Veja a lista completa de alterações e correções do patch SUPEE-10975 no site da Magento.

E claro, consulte/cadastre seu site em algumas ferramentas de segurança Magento como MageReport ou Magento Security Scanner.

ℹ️ Não espere seu site ser afetado para aplicar as correções e atualizações.

Ricardo Martins

Desenvolvedor web há mais de 15 anos, desde 2011 totalmente especializado em Magento, ajudo na criação de conteúdo, e cursos online sobre Magento - hoje com mais de 7000 alunos de 97 países - e criador do módulo PagSeguro Transparente para Magento, usado em mais de 12 mil lojas.
Assuntos: | | | |
Comentários