Metodo raccomandato per proteggere / downloader?

29

Poiché Magento utilizza il / downloader come modo per installare comodamente i programmi tramite Magento Connect Manager , è evidente che anche questo è un problema di sicurezza poiché consente a robot o persone di tentare di apprendere le credenziali per l'installazione.

Controllando i registri di accesso al mio sito Web, ero preoccupato per la quantità di tentativi di www.mysite.com/downloader

Come soluzione ho preso l'abitudine di rinominare la directory downloader in downloader.offline ma ogni tanto dimentico. (O rinominarlo per installare un programma o dopo che ho finito).

Qual è il metodo raccomandato per proteggere questo link?

security magento-connect downloader

— SR_Magento
fonte

35

Basta inserire un .htaccess (o se nginx / qualunque sia una configurazione) nella downloaderdirectory con Disallow from alldentro per proibire qualsiasi richiesta sulla directory.

Se si desidera consentire alcuni indirizzi IP (come il proprio), provare qualcosa di simile nel proprio .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

Dove 1.2.3.4e quali 5.6.7.8sono gli indirizzi IP che si desidera far passare.

Il mio modo preferito: basta eliminare downloader

— Fabian Blechschmidt
fonte

1

Certo, nessuno può accedervi allora. Magento è connesso in questo percorso? Quindi devi consentire da <ip> o utilizzare l'autorizzazione

— Fabian Blechschmidt il

7

O meglio ancora, non usare affatto il downloader.

— Daniel Sloof

3

Ovviamente! Magento connect non consente la riproduzione affidabile dello stato del sistema e l'utilizzo di un sistema di controllo della versione. Consiglio di usare modman o un compositore migliore!

— Fabian Blechschmidt,

1

Compositore FTW - Fabian è morto qui.

— Bryan 'BJ' Hoffpauir Jr.

1

download è la directory magento connect. Se questo crea problemi questa estensione sembra essere molto rotta?

— Fabian Blechschmidt,

17

Insieme alla raccomandazione di @ daniel-sloof, direi di abbandonare del tutto l'installer di Magento Connect. In genere lo aggiungo .gitignorequando si configura un nuovo repository.

Il motivo è, come sottolinea Fabian nei suoi commenti di risposta, che non esiste alcun modo per garantire la replica dell'ambiente di produzione nel controllo del codice sorgente senza eseguire il commit dei pacchetti da Connect. La caratteristica che perderai qui è la possibilità di aggiornare / aggiornare i pacchetti da Connect - ma se hai davvero bisogno di quella funzionalità puoi sempre farlo localmente sulla tua casella di sviluppo e impegnare i risultati quando sei soddisfatto del loro funzionamento.

tl; dr:

Elimina la /downloadercartella o rimuovila dal controllo del codice sorgente.

— philwinkle
fonte

1

È un po 'fastidioso, non avere più accesso a ./mage. Presumo che il ./mage installcomando CLI sia solo un wrapper per Magento Connect. modifica: In realtà posso solo usare magerun extension:install:)

— Erfan

: / N98-Magerun è anche un wrapper per downloader/mage.php. Immagino che potresti semplicemente copiare / scaricare nel tuo ambiente di sviluppo locale se devi installare qualcosa

— Erfan,

Per qualche motivo, mi ritrovo sempre a eseguire ./mage come downloader di file sul mio server di sviluppo. L'unica ragione per l'esistenza negli ambienti live è più la dipendenza da patch.

— Fiasco Labs,

6

Di solito elimino la directory di downloader, ma ho anche trovato utile la seguente direttiva nella radice htaccess:

RewriteRule ^downloader/ - [L,R=404]

Il che farà in modo che Apache invii una risposta 404 anche se è presente la directory del downloader.

— Fabian Schmengler
fonte

Mi piace anche questo metodo

— SR_Magento

1

Non funziona per tutte le richieste di downloader. provawww.mysite.com/index.php/myadminurl/index/downloader

— David Wilkins

Anche se, il metodo nell'altro mio commento non sta realmente accedendo al downloader, è solo una scorciatoia (scorciatoia?) Al login dell'amministratore. Qualcuno dovrebbe conoscere il tuo amministratore per farlo funzionare. se non hai corretto la vulnerabilità di divulgazione dell'amministratore, è probabile che qualcuno la ottenga.

— David Wilkins,

ha funzionato anche per me. Perfezione

— sandip il

5

che ne dici di rinominare la cartella downloader? In caso di necessità può essere facilmente rinominato in "downloader", eseguendo l'aggiornamento e l'installazione in base alle esigenze, quindi cambiandolo di nuovo. Sembra funzionare per me.

— Dadda
fonte