image

SUPEE-Sicherheitspatches für Magento 1

Es fehlende wichtige Sicherheitspatches für Magento 1

Wir empfehlen Ihnen, die Installation von Sicherheitsupdates durch einen erfahrenen Magento-Entwickler durchführen zu lassen.

Details:

Sicherheitslücken in Magento 1 werden seitens Magento durch die Herausgabe von Sicherheitspatches (sogenannte SUPEE-Patches) für alle betroffenen Versionen geschlossen. Es ist daher nicht nötig, auf neue Versionen des Shopsystems zu aktualisieren, die auch funktionale Änderungen mit sich bringen. Sicherheitspatches für Magento 1 lassen sich unabhängig von der jeweiligen Unter-Version installieren, wobei in der Regel alle vorigen Patches installiert sein sollten, bevor ein neuerer Patch verwendet werden kann. Ihr ShopSecurity-Report zeigt die fehlenden Patches an, die Installation alter Patches "auf Verdacht" ist nicht notwendig.

Lösung: Fehlende Sicherheitspatches installieren

  • Installieren Sie alle fehlenden Sicherheitspatches. Überprüfen Sie auch, ob Sicherheitslücken ausgenutzt wurden, falls Ihr Shop längere Zeit durch kritische Sicherheitslücken verwundbar war.
  • Manche Sicherheitspatches wurden mehrfach veröffentlicht und tragen teilweise eine Zusatzbezeichnung mit einer Versionierung, wie beispielsweise "v2". Prüfen Sie die Verfügbarkeit neuerer Patch-Versionen z.B. in diesem Patch-Verzeichnis auf Github: https://github.com/brentwpeterson/magento-patches. Seit dem Ende des offiziellen Supports von Magento 1 am 30.06.2020 gibt es keine offiziellen Downloads von Magento seitens Adobe mehr.
  • Prüfen Sie Sicherheitspatches in einer Staging- oder Entwicklungsumgebung, bevor diese auf dem Produktivsystem eingespielt werden.
  • Die meisten Sicherheitspatches haben besondere Voraussetzungen, sie müssen z. B. nach anderen Patches installiert werden oder erfordern zuvor das Aktivieren oder Deaktivieren bestimmter Shop-Einstellungen. Bitte prüfen Sie in jedem Fall die individuell für einen Patch geltenden Hinweise, bevor Sie mit der Installation beginnen.
  • Installieren Sie Sicherheitspatches nur einzeln nacheinander und machen Sie vor Beginn und nach jedem Patch ein eigenes Backup sowie nach jedem Patch die notwendigen Funktionstests.

Magento 1-Sicherheitspatches werden häufig wie folgt installiert:

  1. Laden Sie den entsprechenden Patch von Magento herunter. Für Magento Commerce (OpenSource) können Sie alle Patches auf dieser Seite finden: https://www.magentocommerce.com/products/downloads/magento/. Klicken Sie dort auf "Release Archive" und suchen Sie dann nach dem Begriff "Magento Open Source Patches" oder der genauen Bezeichnung des gesuchten Patches.
  2. Erstellen Sie ein Backup Ihrer Shop-Dateien und der Datenbank.
  3. Versetzen Sie Ihren Shop in den Wartungsmodus. So stellen Sie sicher, dass Besucher des Shops während der Installation keine Fehlermeldungen angezeigt bekommen.
  4. Wenn Sie den Compiler von Magento verwenden, deaktivieren Sie diesen für die Installation eines Patches.
  5. Übertragen Sie den Patch in das Stammverzeichnis Ihres Shops auf Ihrem Cluster und installieren Sie ihn aus einer SSH-Sitzung heraus. Wechseln Sie dazu in das Stammverzeichnis des Shops und rufen Sie je nach Dateiendung der Patch-Datei den passenden Befehl auf.
    1. Wenn die Patch-Datei die Endung .sh aufweist, so verwenden Sie den folgenden Befehl zur Installation:
      /bin/bash Patch_Dateiname.sh
      Beispiel:
      /bin/bash SUPEE_5344.sh
    2. Wenn die Patch-Datei die Endung .patch aufweist, so verwenden Sie den folgenden Befehl zur Installation:
      patch -p0 < Patch_Dateiname.patch
      Beispiel:
      patch -p0 < SUPEE_11219.patch
  6. Prüfen Sie die Ausgabe der Installation auf Fehlermeldungen oder Ungewöhnliches.
  7. Leeren Sie den Cache des Shops und starten Sie PHP im Managed Center Ihres Clusters neu.
  8. Bei Compiler-Nutzung müssen Sie Ihren Shop neu kompilieren, damit der Sicherheitspatch aktiv wird. Wir empfehlen jedoch, den Magento-Compiler nicht zu verwenden.
  9. Deaktivieren Sie den Wartungsmodus des Shops und überprüfen Sie alle wichtigen Funktionen.

Hierbei handelt es sich um das allgemeine Vorgehen mit den minimal notwendigen Schritten. Im Einzelfall kann ein Sicherheitspatch weitere besondere Anforderungen haben oder das Vorgehen kann abweichen. Prüfen Sie vor der Installation die Hinweise zu jedem einzelnen Sicherheitspatch.

Weitere Handlungsempfehlungen
  • Magento 1 erhält nur noch bis Juni 2020 offizielle Sicherheitspatches. Es gibt zwar verschiedene Bemühungen von Dritten, Magento 1 weiterhin mit Sicherheitspatches oder sogar anderen Fehlerbehebungen zu versorgen, hierfür gibt es jedoch noch keine Erfahrungswerte. Wir empfehlen daher, bei einer Shop-Neuentwicklung oder einem Relaunch, in jedem Fall ein offiziell unterstütztes Shopsystem wie Magento 2 oder Shopware (6) zu nutzen.

Sie benötigen Unterstützung?

favicon
maxcluster GmbH
24 / 7 Kundensupport
Telefon:
+49 5251 414130
Telefon:
support@maxcluster.de
logo

Sie benötigen Unterstützung?

maxcluster GmbH
24 / 7 Kundensupport
Telefon:
+49 5251 414130
Telefon:
support@maxcluster.de
image
image