Рекомендований спосіб захисту / завантажувача?

29

Оскільки Magento використовує / downloader як спосіб зручного встановлення програм за допомогою Magento Connect Manager , очевидно, що це також є проблемою безпеки, оскільки це дозволяє ботам чи людям намагатися дізнатися облікові дані для встановлення.

Перевіряючи журнали доступу до свого веб-сайту, я насторожився через кількість спроб на www.mysite.com/downloader

Як робота навколо, я звик перейменовувати каталог завантажувачів на downloader.offline, але іноді забуваю. (Або перейменувати його назад, щоб встановити програму, або після того, як я закінчу).

Який рекомендований спосіб захисту цього посилання?

security magento-connect downloader

— SR_Magento
джерело

35

Просто помістіть .htaccess (або якщо nginx / що б не було конфігурації) в downloaderкаталог із Disallow from allним, щоб заборонити будь-який запит у каталозі.

Якщо ви хочете дозволити кілька IP-адрес (наприклад, свою), спробуйте щось подібне у своєму .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

Де 1.2.3.4і 5.6.7.8є IP-адреси, які ви хочете пропустити.

Мій кращий спосіб: просто видаліть downloader

— Фабіан Блешшмідт
джерело

1

Звичайно, ніхто до нього тоді не може отримати доступ. Чи з'єднується Magento на цьому шляху? Тоді вам потрібно дозволити з <ip> або скористатись авторизацією

— Fabian Blechschmidt

7

Або ще краще, взагалі не використовуйте завантажувач.

— Даніель Слоуф

3

Звичайно! Підключення Magento не дозволяє надійне відтворення стану системи та використання системи управління версіями. Рекомендую використовувати модман або краще композитор!

— Фабіан Блешшмідт

1

Композитор FTW - Фабіан тут мертвий.

— Брайан 'BJ' Hoffpauir Jr.

1

Завантажити - каталог підключення magento. Якщо це робить проблеми, це розширення здається дуже зламаним?

— Fabian Blechschmidt

17

Поряд з рекомендацією @ daniel-sloof, я б сказав, щоб взагалі вирвати інсталятор Magento Connect. Я, як правило, додаю це під .gitignoreчас налаштування нового сховища.

Як пояснює Фабіан у своїй відповіді, причина пояснюється тим, що немає можливості забезпечити тиражування вашого виробничого середовища в контролі джерел, не приймаючи пакети від Connect. Особливість, яку ви втратите тут, - це можливість оновлювати / оновлювати пакети від Connect, але якщо вам справді потрібна ця функціональність, ви завжди можете це робити локально у своєму вікні розробника та здійснювати результати, коли ви впевнені, що вони працюють.

tl; dr:

Видаліть /downloaderпапку або видаліть її з керування джерелом.

— philwinkle
джерело

1

Хоч щось дратує, більше не маючи доступу до ./mage. Я припускаю, що ./mage installкоманда CLI є лише обгорткою для Magento Connect. редагувати: Насправді я просто можу використовувати magerun extension:install:)

— Ерфан

: / N98-Magerun також є обгорткою для downloader/mage.php. Я думаю, ви можете просто скопіювати / завантажувати в місцеве середовище розробників, якщо вам потрібно щось встановити

— Ерфан

З якоїсь причини я більше ніколи не виявляю себе запущеним ./mage як завантажувач файлів на своєму сервері розробки. Єдина причина існування в живих середовищах - це вже виправлення залежностей.

— Лабораторії Фіаско

6

Зазвичай я видаляю каталог завантажувачів, але також корисна наступна директива в кореневому htaccess:

RewriteRule ^downloader/ - [L,R=404]

Що змусить Apache надіслати відповідь 404, навіть якщо в каталозі завантажувача присутній.

— Фабіан Шменглер
джерело

Мені також подобається цей метод

— SR_Magento

1

Не працює для всіх запитів завантажувача. спробуйтеwww.mysite.com/index.php/myadminurl/index/downloader

— Девід Уілкінс

Хоча метод в іншому моєму коментарі насправді не отримує доступу до завантажувача, це лише ярлик (довга?) До входу адміністратора. Хтось повинен знати ваш адміністратор, щоб це працювало. якщо ви не виконали виправлення вразливості розкриття розвідки adminurl, ймовірно, хтось отримає її.

— Девід Уілкінс

працював і для мене. Досконалість

— пісок

5

як щодо перейменування папки завантажувача? У разі потреби можна легко перейменувати його на "завантажувач", виконавши оновлення та встановити за потребою, а потім знову змінити його. Здається, це працює для мене.

— тата
джерело