Lo primero es lo primero:
Tenga en cuenta que la prueba en https://www.magereport.com no es capaz de verificar de manera concluyente tiendas personalizadas e incluso tiene problemas para verificar parches particulares si se instalan ciertos otros parches. Por lo tanto, debe comprender que MageReport.com, a pesar de que aprecio mucho el esfuerzo y aún me gustaría recomendar el uso de esta herramienta como una primera comprobación rápida, NO es una herramienta de prueba omnipotente definitiva y solo puede funcionar dentro de ciertas limitaciones.
Como ejemplo: en su caso, magereport.com no puede determinar qué versión de Magento está utilizando. Esta comprobación se basa en su propia Identificación de versión utilizando hashes de algunos archivos estáticos (consulte gwillem / magento-version-identificación en GitHub ).
Editar: para aquellos de ustedes que desean ejecutar la verificación de versión por sí mismos, pueden estar interesados en el steverobbins / magento-version-identificación-php equivalente en GitHub . La instalación y el uso se describen en la página de ayuda (aunque no lo publicaré aquí ya que, en mi opinión, esto no es relevante para la pregunta real).
Básicamente, el descargo de responsabilidad ( Preguntas frecuentes en MageReport.com ) ya dice mucho sobre el proceso:
Es nuestra primera prioridad hacer que nuestros controles de seguridad sean precisos. Si bien probamos y ajustamos constantemente nuestras comprobaciones de seguridad, no podemos garantizar que los resultados sean siempre 100% precisos. Cada tienda de Magento es diferente y, en algunos escenarios, la configuración de su tienda o servidor puede generar falsos positivos o negativos. Por lo tanto, le recomendamos que utilice MageReport como guía. Si no está seguro acerca de la validez de un cheque, consulte a su desarrollador o encuentre uno en la página de soporte.
Editar: lo que podría hacer, en caso de que esto sea aplicable para usted, es especificar la URL de back-end real (en caso de que su back-end no sea accesible en "/ admin"). Sin embargo, creo firmemente que su principal problema es el hecho de que hay algunos desajustes en los hashes de sus archivos, ¡en el peor de los casos debido a cambios en el archivo principal! Esto dijo que MageReport.com podría fallar ya que no puede verificar las diferencias aplicadas ya que no sabe qué buscar en su configuración (porque necesitaría verificar CADA versión de Magento disponible ...). Puede determinar si este es el caso, por ejemplo, utilizando la verificación de integridad del Consejo de seguridad de Magento disponible en GitHub .
Sin embargo, para abordar su situación un poco más claramente, ya que MageReport.com (en general) puede determinar el estado de los parches mencionados: Aplicación de parches: Supongo que lo comprobó, pero antes que nada debe asegurarse de que el parche en particular se aplica completamente . Especialmente si un parche no se aplicó a través de SSH, sino manualmente mediante la modificación de archivos basados en diferencias o enfoques similares.
Temas personalizados: "Completamente" ya me lleva al siguiente tema. Al parchear una tienda, parcheará exclusivamente los archivos que Magento envía. Dicho esto, las máscaras / temas personalizados (es decir, plantillas que residen en carpetas como app/design/frontend/rwd/my-styleo app/design/frontend/my-shop/my-style) ¡NO SERÁN PARCHEADAS! SIEMPRE tendrá que aplicar los cambios manualmente comprobando qué está cambiando realmente un parche determinado e integrar estos cambios en su tema.
Módulos personalizados: se aplica exactamente lo mismo en cualquier módulo personalizado: escrito o comprado. Si, como ejemplo, está sobrescribiendo una función particular que fue parchada por un "SUPEE", debe asegurarse de que este cambio también se refleje en su código personalizado.
Alternativas a los parches que compra en la "forma común":
Parcheador de seguridad del consejo de seguridad de 'Magento: https://github.com/magesec/magesecuritypatcher
Mage Security Patcher es una alternativa más efectiva a los parches estándar de magento. Parchear Magento es propenso a fallar porque está aplicando parches sobre parches, y algunas veces incluso varias versiones de parches. Averiguar qué parches necesita y qué versiones también es doloroso y propenso a errores.
En cambio, este parche actualiza toda la instalación de Magento a un estado completamente parcheado, automáticamente. Funciona el 100% del tiempo, porque en lugar de aplicar parches individuales y construir archivos parcheados, parchea su instalación de Magento directamente al estado final de tener todos los parches aplicados. También agrega claves de formulario a plantillas personalizadas que no se incluirían en las bibliotecas de parches estándar.
Actualización completa: en lugar de parchear una tienda, siempre es una opción ejecutar una actualización completa.
Sin embargo, ambas alternativas aún requieren que se asegure de que cualquier personalización esté en sintonía con la versión / estado de parche de Magento.
