Magento 2.4.3 wurde am 10. August 2021 veröffentlicht. Zeitgleich erschienen 2.4.2-p2 und 2.3.7-p1 mit Security-Bugfixes für alte Magento-Versionen.
Das Haupt-Feature dieser Version ist ohne Zweifel der stark verbesserte CMS-Editor Page Builder. Er war bisher nur in der kostenpflichtigen Edition Adobe Commerce verfügbar und erleichtert ähnlich wie der Gutenberg-Editor von WordPress die Bearbeitung der Inhalte stark.
Zusätzlich gibt es:
- Einige weitere neue Funktionen, vor allem in vom Core unabhängigen Modulen.
- 370 Bugfixes
- 33 Security-Fixes
Eine vollständige Liste der Änderungen findet man in den Release Notes für Magento Open Source und Adobe Commerce. Das Ankündigungs-Posting für Magento 2.4.3 finden Sie hier. Details zu den Sicherheitslücken gibt es im Adobe Security Bulletin.
Hier gehe ich auf wichtige Neuigkeiten und Änderungen ein.
Inhaltsverzeichnis
- Neue Features in Magento 2.4.3
- Page Builder in Magento Open Source 2.4.3 verfügbar
- Composer-Plugin zum Schutz vor „dependency confusion“
- Schnellere Indizierung von Produktpreis- und Katalogregel-Indizes
- PayPal Pay Later für Ratenzahlungen verfügbar
- Weitere Features von GraphQL-Schnittstelle unterstützt
- PWA Studio 11
- PWA Studio XD Kit
- ReCAPTCHA für Web-API-Bereiche
- Upgrade Compatibility Tool (nur Adobe Commerce)
- Vorbereitungen für PHP 8 Kompatibilität
- Änderungen in Magento 2.4.3
- Probleme in Magento 2.4.3
- Probleme in Magento 2.3.7-p1
Neue Features in Magento 2.4.3
Page Builder in Magento Open Source 2.4.3 verfügbar
Lange haben wir darauf gewartet. Nun ist er da: Der CMS-Editor „Page Builder“ hat es aus Adobe Commerce in die kostenlose Magento Open Source Version geschafft!
Page Builder kann dort verwendet werden, wo bisher schon der TinyMCE-Editor verfügbar war:
- CMS-Seiten
- CMS-Blöcke
- Kategorie-Beschreibungen
- Produkt-Beschreibungen
Composer-Plugin zum Schutz vor „dependency confusion“
Ein neues Composer-Plugin verbessert die Sicherheit, indem „dependency confusion“ verhindert wird. Was bedeutet das?
- Angenommen, Extension-Hersteller A bietet ein Composer-Package über einen speziellen Paket-Server an.
- Kann Composer das Paket dort nicht herunterladen, dann versucht Composer per Fallback das Package von anderen Paket-Servern zu laden. In letzter Instanz versucht Composer das beim öffentlichen Composer-Packages-Server packagist.org.
- Wenn nun ein Angreifer denselben Paket-Namen auf einem anderen Server in Beschlag nimmt, kann er somit einem Shop ein getürktes Code-Paket unterschieben.
Das Plugin verhindert dieses „Unterschieben“ des Codes.
Relevant ist das übrigens nur für „composer update“-Aufrufe und nicht für „composer install“-Aufrufe. Während der Entwicklung sollte einem das sowieso auffallen. Gefährdet ist man also vor allem dann, wenn man – nicht den Best Practices entsprechend – beim Deployment statt „composer install“ ein „composer update“ ausführt.
Achtung
Für manche führte das Composer-Plugin zu Problemen. Siehe unten für Informationen dazu.
Schnellere Indizierung von Produktpreis- und Katalogregel-Indizes
Der Neuaufbau dieser zwei Indizes sollte nun schneller erfolgen. Außerdem: HändlerInnen können jetzt eine Website aus einer Kundengruppe oder einem Shared Catalog ausschließen, was die Anzahl der zu indizierenden Datensätze reduziert und die Indizierungszeiten verbessert.
PayPal Pay Later für Ratenzahlungen verfügbar
KundInnen können nun, wenn PayPal bzw. die Option aktiviert wird, über „PayPal Pay Later“ bezahlen. In diesem Zahlungsmodus zahlen KundInnen nicht den Gesamtbetrag auf einmal, sondern in zweiwöchigen Raten.
Weitere Features von GraphQL-Schnittstelle unterstützt
Die GraphQL-Schnittstelle in Magento 2.4.3 unterstützt nun etliche weitere Funktionen, die für KundInnen relevant sind:
- Gift registries (Adobe Commerce)
- Negotiable Quotes (Adobe Commerce)
- Shared catalogs (Adobe Commerce)
- Wunschlisten
PWA Studio 11
Die neue Version von PWA Studio bringt neben anderen Verbesserungen die vollständige Unterstützung von Wunschlisten. Alle Details gibt es im Changelog zu PWA Studio 11.
PWA Studio XD Kit
Adobe bringt Magentos PWA und sein UI/UX-Design-Tool Adobe XD näher zusammen: mit dem PWA Studio XD Kit wird es einfacher PWA Studio Shops zu designen, weil es damit nun eine Sammlung von fertig und mit PWA Studio kompatiblen Komponenten gibt.
ReCAPTCHA für Web-API-Bereiche
Um Spam-Attacken zu unterbinden, kann nun ReCAPTCHA optional für Web-API-Aufrufe verwendet werden. Davon ausgenommen sind Web-API-Zugriffe über „Integrations“ (zum Beispiel wenn zwei Systeme direkt miteinander kommunizieren) sowie OAuth-Third-party-integrationen.
ReCAPTCHA ist nun außerdem im Webshop für die Bestellabschluss-Seite und zahlungsrelevante Web-APIs verfügbar. Sie sind standardmäßig deaktiviert und müssen im Admin-Bereich aktiviert werden. Sinnvoll ist das ReCAPTCHA auf der Bestellabschluss-Seite dann, wenn ein Shop – wie es in den USA immer wieder einmal vorkommt – durch so genannte „Carding Attacks“ unter Beschuss steht.
Upgrade Compatibility Tool (nur Adobe Commerce)
Die neue Version des Upgrade Compatibility Tools, welches nur für Adobe Commerce verfügbar ist, bringt einige Verbesserungen:
- Erkennung von Veränderungen an den Core-Dateien
- Die Ergebnisse des Reports können automatisch als JSON-File exportiert werden
- Das Handling von „Vendor Bundled Extensions“ (VBEs), also 3rd-Party-Extensions die mit dem Core-Code ausgeliefert werden, wurde verbessert
- Es gibt nun Error-Codes, wodurch Fehler leichter identifizierbar werden
Vorbereitungen für PHP 8 Kompatibilität
Diese Version von Magento ist noch nicht mit PHP 8 kompatibel, aber etliche Composer-Packages wurden aktualisiert, damit sie mit PHP 8 kompatibel sind.
Änderungen in Magento 2.4.3
Rate-Limiting für API-Integrationen zu Abwehr von DDOS-Attacken
Um Webshops vor DDOS-Attacken zu schützen, führt Magento 2.4.3 Rate-Limits für die Web-API ein. Wer bereits zum Beispiel die „Integrations“ von Magento verwendet und updatet, muss also darauf achten. Details finden sich auf der Dokumentations-Seite API security.
Achtung
Für manche führte das neue Limit von 20 Items zu Problemen. Siehe unten für Informationen dazu.
Probleme in Magento 2.4.3
Composer-Plugin zum Schutz vor „dependency confusion“ führt für manche zu Problemen
Das oben erwähnte Composer-Plugin macht manchen – vor allem Extension-Herstellern, welche auch im Marketplace verkaufen – Probleme. Ein Austausch dazu findet in diesem Twitter-Thread statt. Scheinbar haben nicht alle rechtzeitig davon erfahren.
Rate-Limit für API-Integrationen führt für manche zu Problemen
Das oben erwähnte Rate-Limiting für APIs hat manche ebenfalls böse erwischt. Konkret ist das Problem, dass als neuer Standardwert nur maximal 20 Items in einer API-Response ausgegeben wurden. Es gibt dafür einen Hotfix bei Adobe, der den Standardwert wieder erhöht: „Web API unable to process requests with more than 20 items in array„.
Probleme in Magento 2.3.7-p1
Mehrere Bestellungen eines Kunden mit PayPal-Zahlung führen zu falsch bestelltem Produkt
Zugegeben: Das ist ein kurioser Bug, und noch dazu ein ärgerlicher. Denn gibt ein Kunde eine Bestellung auf und zahlt mit PayPal, und danach gibt er eine zweite Bestellung auf und zahlt wieder mit PayPal, dann hat er in der zweiten Bestellung die Produkte aus Bestellung eins statt aus Bestellung zwei.
Die genaue Beschreibung des Problems plus einen Patch gibt es bei Adobe: „outdated order total for PayPal„.
Rate-Limit für API-Integrationen führt für manche zu Problemen
Für Magento 2.3.7.-p1 gilt leider dasselbe wie für Magento 2.4.3 (siehe oben): auch hier führte das neue API-Rate-Limit zu Problemen. Den Hotfix für 2.3.7-p1 gibt es auf derselben Seite: „Web API unable to process requests with more than 20 items in array„.