Magento用のデータインポートツールとしてよく利用されているものに、「Magmi」というものがあります。
このツールはMagentoのデータフローやインポート機能を使わずに、独自の実装によるデータインポートを提供しています。

Magentoの標準インポート機能はお世辞にも高機能とはいえないので、Magmiを使われる方も多いと思います。
ですがこのツール、phpMyAdmin等と同様に、データベースに対して直接変更できる機能を、ログインIDなどによるアクセス制限なしに提供します。
本来であればこのようなツールは、開発環境やテスト環境といった、関係者だけがアクセスできる環境にのみインストールし、本番の環境にインストールしないことが望ましいものです。
とはいえ予算上の理由や、本番環境しかないという状況ではMagmiのようなツールをインストールして、商品データを定期的にインポートすることがあります。

Magmiにアクセス制限をかけずに放置するとどういう問題があるか

Magmiは最初に書いたとおり、データベースに対して直接データを投入します。
Magentoの管理画面が提供しているログイン認証機能を使用しないため、アクセス制限がない場合はどこからでも、だれでもMagmiの画面にアクセスできてしまいます。

つまり、

  • 管理者の知らないうちに想定していないデータをデータベースに登録されてしまう可能性がある
  • 任意のプログラムをアップロードファイルとしてアップロードされ、システムの改ざんや情報の漏洩が起きる

ということです。
もちろん、確実にそうなる、というわけではありません。
ですがMagmiをインストールしている環境を一般に公開していた場合、Magmiが入っていない環境と比較すると、そのリスクは当然ながら高くなります。
実際、Magmiを標的とした調査目的のアクセスは行われています。

※2014年11月17日付けでIPA/JVN iPediaに正式な日本語版の脆弱性情報が掲載されました。

管理者が今すぐやるべき対策とは

MagmiをインストールしているMagentoを使用したサイトの管理者は、今すぐ何らかの対策を施す必要があります。Magmiを使われている環境では、日常の運用としてMagmiを活用されていると思います。ですからいますぐMagmiをアンインストールすることは難しいと思います。
ですから現実解としての対策は、アクセス制限を施す事になります。

アクセス制限を掛ける場合、basic認証か、IPアドレスによる認証を施すことが一般的です。
ご契約中のプロバイダが固定IPを付与してくれるタイプの契約の場合は、IPアドレスによるアクセス制限が使えます。
自宅やオフィスのネットワークに侵入されない限りは安全なので、ネットワーク機器を推奨設定で利用していればまず問題はないでしょう。

固定IPが利用できないプロバイダと契約されている場合は、basic認証を使うことになります。もちろん、IPアドレスによる制限と組み合わせても構いません。
いずれにしても何らかの形でアクセス制限を行って、関係者だけがMagmiにアクセスできるようにすることが望ましいと言えます。 

もちろん、Magmiを定期的にアップデートしておくことも必要ですが、それ以上にアクセス制限をかけておくことは何よりも重要です。
お使いのサイトがMagmiのアクセス制限に関する脆弱性を抱えていないかは、検証ツールを使うことで簡単にチェックすることができます。
気になる方はぜひこのツールでチェックしてみることをおすすめします。