Die meisten Shop-Betreiber, die wegen der Berichterstattung über Tausende gehackte osCommerce-Shops versuchen, ihren Shop auf die Version 2.3.1 upzudaten (was in den meisten Berichten empfohlen wird), stellen fest, dass dieses Update , Zitat heise: “keineswegs trivial” ist. Eigentlich ist “Update” das falsche Wort, denn in vielen Fällen kommt man nur mit einem kompletten Neuaufbau des Shops zum Ziel. Auch das Datenbankformat ist in osCommerce 2.3.1 anders, so dass man ohne manuelle Eingriffe keinen Dump einer älteren Version einspielen kann.
Wenn der Shop schon infiziert ist und als Virenschleuder arbeitet, kommt man an einem sofortigen Update wohl auch nicht vorbei. Ist er aber noch nicht infiziert, gibt es aber eine einfache Möglichkeit, den Shop abzusichern, um Zeit für einen geordneten Umstieg auf die neue Version zu gewinnen: die zusätzliche Absicherung des Admin-Verzeichnisses /admin mit .htaccess. Dann gibt es zwar beim Aufruf einer Admin-Session eine einmalige zusätzliche Sicherheitsabfrage, aber damit kann man gut leben und die Hacker kommen auf den bekannten Wegen nicht mehr hinein.