Phương pháp đề xuất để bảo vệ / downloader?

29

Vì Magento sử dụng / downloader như một cách để cài đặt các chương trình một cách thuận tiện thông qua Magento Connect Manager , rõ ràng đây cũng là một vấn đề bảo mật vì nó cho phép các bot hoặc mọi người cố gắng tìm hiểu thông tin đăng nhập để cài đặt.

Kiểm tra nhật ký truy cập vào trang web của tôi, tôi đã được báo động về số lần thử vào www.mysite.com/doader

Như một công việc xung quanh tôi đã có thói quen đổi tên thư mục downloader thành downloader.offline nhưng thỉnh thoảng tôi quên mất. (Hoặc đổi tên nó trở lại để cài đặt chương trình hoặc sau khi tôi hoàn thành).

Phương pháp được đề nghị để bảo vệ liên kết này là gì?

security magento-connect downloader

— SR_Magento
nguồn

35

Chỉ cần đặt một .htaccess (hoặc nếu nginx / bất cứ cấu hình nào) vào downloaderthư mục Disallow from alltrong đó để cấm mọi yêu cầu trên thư mục.

Nếu bạn muốn cho phép một vài địa chỉ IP trong (như của chính bạn), hãy thử một cái gì đó như thế này trong .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

Địa chỉ IP ở đâu 1.2.3.4và 5.6.7.8bạn muốn cho qua.

Cách ưa thích của tôi: Chỉ cần xóa downloader

— Fabian Blechschmidt
nguồn

1

Chắc chắn, không ai có thể truy cập nó sau đó. Là Magento kết nối trong con đường này? Sau đó, bạn cần Cho phép từ <ip> hoặc sử dụng ủy quyền

— Fabian Blechschmidt

7

Hoặc tốt hơn nữa, đừng sử dụng trình tải xuống.

— Daniel Sloof

3

Tất nhiên! Magento kết nối không cho phép tái tạo đáng tin cậy trạng thái của hệ thống và sử dụng hệ thống kiểm soát phiên bản. Tôi khuyên bạn nên sử dụng modman hoặc nhà soạn nhạc tốt hơn!

— Fabian Blechschmidt

1

Nhà soạn nhạc FTW - Fabian đã chết ở đây.

— Bryan 'BJ' Hoffpauir Jr.

1

tải về là thư mục kết nối magento. Nếu điều này làm cho vấn đề mở rộng này dường như rất bị phá vỡ?

— Fabian Blechschmidt

17

Cùng với khuyến nghị của @ daniel-sloof, tôi sẽ nói rằng hãy bỏ hoàn toàn trình cài đặt Magento Connect. Tôi thường thêm nó vào .gitignorekhi thiết lập một kho lưu trữ mới.

Lý do là, như Fabian chỉ ra trong các bình luận trả lời của mình, rằng không có cách nào để đảm bảo sao chép môi trường sản xuất của bạn trong kiểm soát nguồn mà không cam kết các gói từ Connect. Tính năng bạn sẽ mất ở đây là khả năng cập nhật / nâng cấp các gói từ Connect - nhưng nếu bạn thực sự cần chức năng đó, bạn luôn có thể thực hiện cục bộ trên hộp dev của mình và cam kết kết quả khi bạn hài lòng rằng chúng hoạt động.

tl; dr:

Xóa /downloaderthư mục hoặc xóa nó khỏi kiểm soát nguồn của bạn.

— philwinkle
nguồn

1

Mặc dù vậy, loại phiền toái, không có quyền truy cập vào ./mage nữa. Tôi giả sử ./mage installlệnh CLI chỉ là một trình bao bọc cho Magento Connect. chỉnh sửa: Trên thực tế tôi chỉ có thể sử dụng magerun extension:install:)

— Erfan

: / N98-Magerun cũng là một trình bao bọc cho downloader/mage.php. Tôi đoán bạn chỉ có thể sao chép / tải xuống vào môi trường nhà phát triển địa phương nếu bạn cần cài đặt một cái gì đó

— Erfan

Vì một số lý do, tôi chỉ thấy mình đang chạy ./mage với tư cách là người tải xuống tệp trên máy chủ phát triển của mình nữa. Đó là lý do duy nhất để tồn tại trên môi trường sống là phụ thuộc bản vá nữa.

— Phòng thí nghiệm Fiasco

6

Tôi thường xóa thư mục downloader, nhưng cũng thấy lệnh sau trong htaccess gốc hữu ích:

RewriteRule ^downloader/ - [L,R=404]

Điều này sẽ khiến Apache gửi phản hồi 404 ngay cả khi có thư mục trình tải xuống.

— Fabian Schmengler
nguồn

Tôi cũng thích phương pháp này

— SR_Magento

1

Không hoạt động cho tất cả các yêu cầu tải xuống. thửwww.mysite.com/index.php/myadminurl/index/downloader

— David Wilkins

Mặc dù, phương pháp trong nhận xét khác của tôi không thực sự truy cập vào trình tải xuống, nó chỉ là một phím tắt (longcut?) Để đăng nhập quản trị viên. Ai đó sẽ phải biết adminurl của bạn để làm việc này. nếu bạn chưa vá lỗ hổng tiết lộ adminurl, có khả năng ai đó sẽ nhận được nó.

— David Wilkins

làm việc cho tôi quá Sự hoàn hảo

— sandip

5

Còn việc đổi tên thư mục downloader thì sao? Trong trường hợp cần thiết có thể dễ dàng đổi tên thành "downloader", thực hiện cập nhật và cài đặt khi cần, sau đó thay đổi lại. Nó dường như làm việc cho tôi.

— bố
nguồn