Patch Magento
Appliquer les patch Magento 1
Patch Magento
Magento fournit plusieurs fois par an des patchs de sécurité, il est important de les installer sur sa boutique pour limiter les risques de piratage.
Diagnostiquer les vulnérabilités
Pour savoir si votre Magento est vulnérable vous pouver utiliser le site MageReport, il suffit simplement d’indiquer l’url de votre Magento pour obtenir un rapport détaillé inidiquant les patchs manquant et les vulnérabilité détectées.
A noter qu’en vous inscrivant sur le site officiel de Magento vous aurez également accès à un outil du même type permettant d’obtenir des infos plus complète et des rapport régulièr moyennant la réalisation d’une petite configuration sur votre site, plus d’information sur la page de Magento Security Center
Utiliser les bons outils
Trois outils permettent de faciliter grandement les manipulations de patch Magento:
- n98-magerun va être utilisé pour effectuer les taches de bases de Magento (vider la cache, réindexer…)
- Mage Security Patcher se chargera de faciliter l’installation des patchs
- Magento Malware Scanner permettra de vérifier si votre site a été infecté
Avertissements
La procédure suivante n’est pas sans risque et demande des connaissance technique.
En préalable de cette opération pensez à bien sauvegarder votre Magento et à la placer en mode maintenance durant les manipulations.
Pour utiliser ces outils vous devez être connecté avec un terminal SSH à votre hébergement et vous placer dans le dossier racine de votre Magento.
Connaitre sa version
La version de Magento est affiché dans le backoffice, mais en ligne de commande il est possible de l’afficher avec cette commande:
grep -A6 'static function getVersionInfo' app/Mage.php
Ou encore avec n98-magerun
n98-magerun sys:info
Vous pouvez également afficher les patchs précédemment installé avec la commande
grep -F '|' app/etc/applied.patches.list|cut -f 2 -d'|'
Appliquer les patchs
Pour appliquer les patchs la procédure suivante peux être utilisée.
Tout d’abord vérifier qu’il n’y a pas de fichier frauduleux sur votre site.
mwscan --ruleset magesec ./
Si des alertes sont affichées il serait préférable de les traiter (réparer les fichiers modifiés ou supprimer ceux ajoutés) avant d’effectuer l’installation des patchs.
On peux maintenant passer à l’application des patchs proprement dit et imediatement ensuite effectuer le vidage du cache et la réindexation de Magento
magesecuritypatcher
n98-magerun cache:clean
n98-magerun index:reindex:all
Vérifier enfin que les patchs sont bien installé
grep -F '|' app/etc/applied.patches.list|cut -f 2 -d'|'
Un dernier scan avec MageReport permettra également de s’assurer que tout est maintenant en ordre.
Enfin n’oubliez pas de tester votre site (affichage des pages produits, catégories, réallisation d’un tunnel de commande….) pour s’assurer que le patch n’a pas introduit de bug.