Magento_Version no Magento 2: segurança esquecida?
Desenvolvimento, Magento 2
Atualizado em 17 de setembro de 2020
Quando falamos de segurança no ambiente de comércio eletrônico, uma das primeiras coisas que tentamos esconder é qual a versão do software estamos usando.
A razão é bem simples. Quando uma nova falha de segurança é descoberta e um patch de segurança ou nova versão é lançada (veja como aplicar patch de segurança no Magento) a primeira coisa que os mal intencionados fazem é buscar as lojas que ainda usam a versão anterior ou que não aplicaram o patch.
O patch de segurança dá o caminho exato para que o mal intencionado busque uma forma de se aproveitar das falhas de segurança em uma loja ou em um sistema.
Isso é válido tanto para versão Magento, WordPress, como para servidores, PHP, sistemas operacionais ou qualquer outro software onde uma falha de segurança é identificada.
Versão exposta no Magento 2
No Magento 2 isso parece não ter sido uma preocupação muito grande, pois por padrão qualquer loja Magento 2 expõe sua versão ao acessar /magento_version.
Apesar da versão de patch não ser exibida (2.1.8), podemos assumir que a loja não é atualizada, e isso facilita (e muito) o trabalho de espertinhos em busca de lojas inseguras.
Como ocultar o /magento_version
O módulo responsável por exibir a versão do Magento é o módulo Magento_Version. Como sua única finalidade é esta, podemos desabilitá-lo com bin/magento module:disable Magento_Version
.
E agora, como vejo a versão do Magento 2?
A maneira mais simples e rápida ainda é olhar no rodapé do seu painel administrativo.
Uma outra forma é ver o arquivo composer.json
do módulo base, localizado em vendor/magento/magento2-base/composer.json
ou [raiz]/composer.json
(se você instalou via github).
Sempre atualizado
Seja Magento 1 ou Magento 2, é sempre importante manter seu software atualizado. Afinal, a maioria dos contratempos com segurança se dão em falhas já resolvidas, mas que o lojista ou usuário não deu a devida atenção.
Imagem de destaque de seb314fr no Visual Hunt / CC BY
- PagSeguro (PagBank) para Magento 1 recebe a Nova Geração - 9 de abril de 2024
- Recorrência no WooCommerce Sem Plugins Pagos - 28 de janeiro de 2024
- Chargeback. O que é, e como se livrar deles. - 19 de dezembro de 2023
Deixe seu comentário
[fbcomments url="https://www.magenteiro.com/blog/magento-2/desenvolvimento-m2/magento_version-como-ocultar/"]