Zalecana metoda ochrony / downloadera?

29

Ponieważ Magento używa narzędzia / downloader do wygodnego instalowania programów za pomocą Magento Connect Manager , oczywiste jest, że stanowi to również zagrożenie dla bezpieczeństwa, ponieważ umożliwia robotom lub osobom próbowanie zdobycia poświadczeń dotyczących instalacji.

Sprawdzając dzienniki dostępu do mojej witryny, byłem zaniepokojony ilością prób dostępu do www.mysite.com/downloader

W ramach pracy nabrałem zwyczaju zmiany nazwy katalogu downloadera na downloader.offline, ale czasami zapominam. (Albo zmień nazwę z powrotem, aby zainstalować program, albo po zakończeniu).

Jaka jest zalecana metoda ochrony tego linku?

SR_Magento
źródło

Odpowiedzi:

35

Po prostu włóż .htaccess (lub jeśli nginx / cokolwiek config) do downloaderkatalogu z Disallow from allnim, aby zabronić wszelkich żądań w katalogu.

Jeśli chcesz wpuścić kilka adresów IP (takich jak własny), spróbuj czegoś takiego w swoim .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

Gdzie 1.2.3.4i 5.6.7.8są adresy IP, które chcesz przepuścić.

Mój preferowany sposób: po prostu usuń downloader

Fabian Blechschmidt
źródło
1
Jasne, nikt nie może wtedy uzyskać do niego dostępu. Czy Magento łączy się na tej ścieżce? Następnie musisz zezwolić na <ip> lub użyć autoryzacji
Fabian Blechschmidt
7
Lub jeszcze lepiej, w ogóle nie używaj downloadera.
Daniel Sloof,
3
Oczywiście! Magento Connect nie pozwala na niezawodne odtwarzanie statusu systemu i korzystanie z systemu kontroli wersji. Polecam używać modmana lub lepszego kompozytora!
Fabian Blechschmidt
1
Kompozytor FTW - Fabian nie żyje tutaj.
Bryan „BJ” Hoffpauir Jr.
1
download to katalog magento connect. Jeśli powoduje to problemy, to rozszerzenie wydaje się bardzo zepsute?
Fabian Blechschmidt
17

Wraz z zaleceniem @ daniel-sloof powiedziałbym, aby całkowicie porzucić instalator Magento Connect. Zasadniczo dodam go do .gitignorekonfiguracji nowego repozytorium.

Powodem jest to, jak zauważył Fabian w odpowiedzi na komentarz, że nie ma sposobu na zapewnienie replikacji środowiska produkcyjnego pod kontrolą źródła bez zatwierdzania pakietów z Connect. Funkcja, którą tu stracisz, to możliwość aktualizacji / aktualizacji pakietów z Connect - ale jeśli naprawdę potrzebujesz tej funkcji, zawsze możesz to zrobić lokalnie na swoim urządzeniu deweloperskim i zatwierdzić wyniki, gdy będziesz zadowolony, że działają.

tl; dr:

Usuń /downloaderfolder lub usuń go z kontroli źródła.

philwinkle
źródło
1
W pewnym sensie irytujące, nie mając już dostępu do ./mage. Zakładam, że ./mage installpolecenie CLI to tylko opakowanie dla Magento Connect. edytuj: Właściwie mogę po prostu użyć magerun extension:install:)
Erfan
: / N98-Magerun to także opakowanie dla downloader/mage.php. Sądzę, że możesz po prostu skopiować / pobrać program do lokalnego środowiska programistycznego, jeśli chcesz coś zainstalować
Erfan
Z jakiegoś powodu już tylko uruchamiam ./mage jako program do pobierania plików na moim serwerze programistycznym. Jedynym powodem istnienia w środowiskach na żywo są już zależności łatek.
Fiasco Labs,
6

Zwykle usuwam katalog downloadera, ale znalazłem również następującą dyrektywę w katalogu głównym htaccess:

RewriteRule ^downloader/ - [L,R=404]

Co sprawi, że Apache wyśle ​​odpowiedź 404, nawet jeśli katalog downloadera jest obecny.

Fabian Schmengler
źródło
Podoba mi się również ta metoda
SR_Magento
1
Nie działa dla wszystkich żądań pobierania. spróbujwww.mysite.com/index.php/myadminurl/index/downloader
David Wilkins,
Chociaż metoda w moim drugim komentarzu tak naprawdę nie ma dostępu do downloadera, to tylko skrót (skrót?) Do logowania administratora. Aby to zadziałało, ktoś musiałby znać Twojego administratora. jeśli nie załatałeś luki w zabezpieczeniach związanej z administrowaniem, prawdopodobnie ktoś ją uzyska.
David Wilkins
też dla mnie pracował. Perfekcja
sandip
5

co ze zmianą nazwy folderu downloadera? W razie potrzeby można łatwo zmienić nazwę na „downloader”, wykonując aktualizację i instalację w razie potrzeby, a następnie zmieniając ją ponownie. Wydaje mi się, że to działa.

tata
źródło