Magento_Version no Magento 2: segurança esquecida?

Desenvolvimento, Magento 2

Atualizado em 17 de setembro de 2020

Quando falamos de segurança no ambiente de comércio eletrônico, uma das primeiras coisas que tentamos esconder é qual a versão do software estamos usando.

A razão é bem simples. Quando uma nova falha de segurança é descoberta e um patch de segurança ou nova versão é lançada (veja como aplicar patch de segurança no Magento) a primeira coisa que os mal intencionados fazem é buscar as lojas que ainda usam a versão anterior ou que não aplicaram o patch.

O patch de segurança dá o caminho exato para que o mal intencionado busque uma forma de se aproveitar das falhas de segurança em uma loja ou em um sistema.

Isso é válido tanto para versão Magento, WordPress, como para servidores, PHP, sistemas operacionais ou qualquer outro software onde uma falha de segurança é identificada.

Versão exposta no Magento 2

No Magento 2 isso parece não ter sido uma preocupação muito grande, pois por padrão qualquer loja Magento 2 expõe sua versão ao acessar /magento_version.

Versão do Magento sendo exibida publicamente em /magento_version — Ao acessar /magento_version a versão do Magento é exibida

Apesar da versão de patch não ser exibida (2.1.8), podemos assumir que a loja não é atualizada, e isso facilita (e muito) o trabalho de espertinhos em busca de lojas inseguras.

Como ocultar o /magento_version

O módulo responsável por exibir a versão do Magento é o módulo Magento_Version. Como sua única finalidade é esta, podemos desabilitá-lo com bin/magento module:disable Magento_Version.

Desabilitando o módulo Magento_Version no terminal

E agora, como vejo a versão do Magento 2?

A maneira mais simples e rápida ainda é olhar no rodapé do seu painel administrativo.

Uma outra forma é ver o arquivo composer.json do módulo base, localizado em vendor/magento/magento2-base/composer.json ou [raiz]/composer.json (se você instalou via github).

Vendo a versão do Magento 2 no código — Localizando a versão do Magento 2 direto nos arquivos fonte

Sempre atualizado

Seja Magento 1 ou Magento 2, é sempre importante manter seu software atualizado. Afinal, a maioria dos contratempos com segurança se dão em falhas já resolvidas, mas que o lojista ou usuário não deu a devida atenção.

Imagem de destaque de seb314fr no Visual Hunt / CC BY

Todos os cursos Magento por R$39/mês*

Faça parte do Clube Magenteiro e tenha acesso a todos os cursos e conteúdos. *pa

Sobre
Últimos Posts

Ricardo Martins

É desenvolvedor web há 16 anos e um dos primeiros certificados pela Magento no Brasil. Instrutor de mais de 11 cursos Magento (os principais no magenteiro.com/cursos) com mais de 14 mil alunos de 105 países, é também criador do módulo PagSeguro Transparente, usado em mais de 12 mil lojas.

Últimos posts por Ricardo Martins (exibir todos)

PagSeguro (PagBank) para Magento 1 recebe a Nova Geração - 9 de abril de 2024
Recorrência no WooCommerce Sem Plugins Pagos - 28 de janeiro de 2024
Chargeback. O que é, e como se livrar deles. - 19 de dezembro de 2023

Magento_Version no Magento 2: segurança esquecida?

Desenvolvimento, Magento 2