Mình trích nguyên văn của bạn Hồng Phúc Nguyễn – Chuyên gia bảo mật nói về magento đã nói:
Tiếp cái status về việc Tiki.vn đang dùng Magento, mình có chút ý kiến sau khi có các comment

Có vài thứ mà nhiều bạn đang hơi ngộ nhận:
– Không phải cứ dùng Zend Framework là an toàn, implement sai là gây ra điểm yếu liền, bản thân Zend Framework cũng chứa đầy lỗi năm ngoái một bug public của Zend là File Disclose vẫn còn đang được khai thác ầm ầm và trên thị trường chợ đen vẫn đang lưu hành ít nhất khoảng 12 bug khác của Zend ( non-public )
– Các opensource không thực sự an toàn, sự an toàn của opensource phụ thuộc vào công ty đứng sau nó là thằng nào , to hay không. Lí do là vì không phải bug nào cũng public, giới hacker luôn buôn bán các bug trên thứ gọi là “chợ đen”, do đó cty đứng đằng sau opensource càng to thì nó càng có nhiều tiền để … mua bug :v

– Các exploit nghiêm trọng không phải cái nào cứ dẫn tới deface được mới là nghiêm trọng. Làm thiệt hại về mặt nhãn tiền mới nghiêm trọng
– Không phải cứ lắm thằng lớn dùng là cái mã nguồn đó an toàn ( mà tất cả các site TMDT ở VN đều là loại nhỏ khi so với mức chuẩn )
– Các cuộc tấn công dẫn tới website ngưng hoạt động chỉ chiếm 1 phần nhỏ trong số các cuộc tấn công. Đối với trang thương mại điện tử thì bị deface không nghiêm trọng bằng việc bị phá hoại lâu dài ngầm ngầm làm thiệt hại kinh tế trở nên ăn lấn vào lợi nhuận
– Khi dùng các mã nguồn có sẵn để làm các trang TMDT có nhiều cái lợi ở giai đoạn startup, nhưng khi đã được đầu tư thì việc tiếp tục dùng thứ “không phải do mình làm từ số 0” sẽ dẫn tới một số điểm “bất tiện”:
+ Không kiểm soát được các hoạt động của hệ thống, do không nắm được mã ( có viết đâu mà nắm ). Nắm ở đây là thấu hiểu từng dòng mã của toàn bộ hệ thống, với các opensource lớn như Magento, với mục đích ban đầu là 1 CMS mở nên nó được viết rất thoáng, với số lượng dòng mã lên tới hàng trăm ngàn dòng. Làm sao đọc cho hết nổi
+ Mã nguồn của website thằng nào cũng soi được ( do là hàng opensource )
+ Do không nắm được mã nên việc sinh ra các Gap khi kết nối với các hệ thống khác là chuyện thường xảy ra.

Ví dụ ở case của Tiki cheap diflucan generic.vn:
– Dễ thấy nhất là có nhiều chỗ chưa được Việt hoá hoàn toàn, anh-việt lẫn lộn trong các message của hệ thống.
– Hiện dính 1 lỗi của Magento bắt nguồn từ lỗi của Zend. Đây là lỗi Security Bug được bán trên blackmarket
– Hiện có Gap khi kết nối với hệ thống paygate. Hiện tôi chỉ với 1 script nhỏ chạy trong vài phút là có thể làm hoạt động kinh doanh của Tiki ngưng hoạt động vài ngày do một lượng lớn đơn hàng hợp lệ “đã thanh toán” khiến nhân viên của Tiki phải đi check lại bằng tay hết vài ngày

Sơ bộ là thế ?