Vulnerabilidad CSRF en Applicaciones Web (y cómo evitarlo en su Magento Admin)
En un reciente artículo en el blog artisansystem, se encuentra una descripción de un hipotético ataque CSRF (?) en un Magento admin. Es importante tener en cuenta que para que dicho ataque sea posible, el atacánte debe conocer la URL de su admin (frontName). Si esto es desconocido para el atacánte, el intento de ataque resultará en un noroute y no causará daño alguno.
El Magento Core Team ha identificado dicha vulnerabilidad algunos meses atras, y como solución introdujo en versiones anteriores la posibilidad de configurar un path personalizado hacia el Admin Panel en el proceso de instalación e incluso atraves de la configuración local. Debido a que este artículo reciente pone en riesgo a cualquier usuario Magento que especificó
‘admin’ como su path, les recomendamos a todos los usuarios utilizar otra alternativa de path a su admin que sea solo conocida por la gente que precisa obtener acceso al panel de administración.
La seguridad está ubicada como una de nuestras mayores prioridades cuando se trata de nuestros usuarios y estamos constantemente probando y resolviendo cualquier inonveniente que devenga de ella. Recomendamos siempre contar con la versión de Magento más actualizada asi su instalación estará al dia con las actualizaciones de seguridad. Un nuevo foro focalizado en seguridad ya se encuentra disponible para discutir estos temas.
Cómo actualizar el admin path en una instalación ya existente de Magento
Deshabilite todos los caches en System->Cache Management
En su archivo app/etc/local.xml cambie el valir de admin->routers->adminhtml->args->frontName a el nuevo valor personalizado que usted elija para correr su admin.
El resultado debería verse así:
Actualización: El artículo en artisansystems ya no se encuentra disponible.
