วิธีการป้องกัน / ดาวน์โหลดที่แนะนำ?

29

เนื่องจาก Magento ใช้/ downloaderเป็นวิธีการติดตั้งโปรแกรมอย่างสะดวกผ่านMagento Connect Managerจึงเห็นได้ชัดว่านี่เป็นปัญหาด้านความปลอดภัยเนื่องจากอนุญาตให้บอทหรือผู้คนพยายามเรียนรู้ข้อมูลประจำตัวสำหรับการติดตั้ง

การตรวจสอบบันทึกการเข้าถึงเว็บไซต์ของฉันฉันตื่นตระหนกตามจำนวนครั้งที่พยายามเข้าสู่www.mysite.com/downloader

ในฐานะที่เป็นสิ่งรอบตัวฉันได้เปลี่ยนนิสัยในการเปลี่ยนชื่อไดเรกทอรีดาวน์โหลดเป็น downloader.offlineแต่บางครั้งฉันก็ลืม (อาจเปลี่ยนชื่อกลับเป็นติดตั้งโปรแกรมหรือหลังจากที่ฉันทำเสร็จแล้ว)

วิธีที่แนะนำในการปกป้องลิงค์นี้คืออะไร?

security magento-connect downloader

— SR_Magento
แหล่งที่มา

35

เพียงแค่ใส่. htaccess (หรือถ้า nginx / อะไรก็ตามที่เป็น config) ลงในdownloaderสารบบDisallow from allเพื่อห้ามการร้องขอใด ๆ ในไดเรกทอรี

หากคุณต้องการอนุญาตให้มีที่อยู่ IP บางรายการใน (เช่นของคุณเอง) ลองทำสิ่งนี้ในของคุณ .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

ที่ไหน1.2.3.4และ5.6.7.8เป็นที่อยู่ IP ที่คุณต้องการให้ผ่าน

วิธีที่ฉันชอบ: เพียงแค่ลบ downloader

— เฟเบียน Blechschmidt
แหล่งที่มา

1

แน่นอนว่าไม่มีใครสามารถเข้าถึงได้ Magento เชื่อมต่อในเส้นทางนี้หรือไม่? จากนั้นคุณต้องอนุญาตจาก <ip> หรือใช้การอนุญาต

— Fabian Blechschmidt

7

หรือดีกว่านั้นอย่าใช้ตัวดาวน์โหลดเลย

— แดเนียล Sloof

3

แน่นอน! Magento connect ไม่อนุญาตการทำซ้ำสถานะของระบบและการใช้ระบบควบคุมเวอร์ชันที่เชื่อถือได้ ฉันแนะนำให้ใช้ modman หรือนักแต่งเพลงที่ดีกว่า!

— Fabian Blechschmidt

1

นักแต่งเพลง FTW - เฟเบียนตายที่นี่

— ไบรอัน 'BJ' Hoffpauir Jr.

1

ดาวน์โหลดเป็นไดเรกทอรีเชื่อมต่อคุณภาพเยี่ยม หากสิ่งนี้ทำให้เกิดปัญหาส่วนขยายนี้ดูเหมือนว่าจะหักมาก?

— Fabian Blechschmidt

17

พร้อมด้วยคำแนะนำของ @ daniel-sloof ฉันจะบอกกับผู้ติดตั้ง Magento Connect ทั้งหมด โดยทั่วไปฉันจะเพิ่มเข้าไป.gitignoreเมื่อตั้งค่าที่เก็บใหม่

เหตุผลในขณะที่เฟเบียนชี้ให้เห็นในความเห็นคำตอบของเขาว่าไม่มีทางที่จะมั่นใจได้ว่าการจำลองสภาพแวดล้อมการผลิตของคุณในการควบคุมแหล่งที่มาโดยไม่ต้องทำแพ็คเกจจากการเชื่อมต่อ คุณลักษณะที่คุณจะสูญเสียที่นี่คือความสามารถในการอัปเดต / อัปเกรดแพ็กเกจจาก Connect - แต่ถ้าคุณต้องการฟังก์ชั่นนั้นจริงๆคุณสามารถทำได้ในเครื่องของคุณในกล่อง dev ของคุณและยอมรับผลลัพธ์เมื่อคุณพอใจ

TL; DR:

ลบ/downloaderโฟลเดอร์หรือลบออกจากแหล่งควบคุมของคุณ

— philwinkle
แหล่งที่มา

1

แม้ว่าจะเป็นเรื่องที่น่ารำคาญ แต่ก็ไม่สามารถเข้าถึง / .mage ได้อีก ฉันถือว่า./mage installคำสั่ง CLI เป็นเพียงเครื่องมือเสริมสำหรับ Magento Connect แก้ไข: จริง ๆ แล้วฉันสามารถใช้magerun extension:install:)

— Erfan

: / N98-Magerun downloader/mage.phpยังเป็นเสื้อคลุมสำหรับ ฉันเดาว่าคุณสามารถคัดลอก / ดาวน์โหลดไปยังสภาพแวดล้อม dev ในพื้นที่ของคุณถ้าคุณต้องการติดตั้งบางสิ่งบางอย่าง

— Erfan

ด้วยเหตุผลบางอย่างฉันพบว่าตัวเองกำลังเรียกใช้. /mage เป็นตัวดาวน์โหลดไฟล์บนเซิร์ฟเวอร์การพัฒนาของฉันอีกต่อไป มีเพียงเหตุผลเดียวที่มีชีวิตอยู่ในสภาพแวดล้อมแบบสด ๆ คือการพึ่งพาการแก้ไขอีกต่อไป

— Fiasco Labs

6

ฉันมักจะลบไดเรกทอรีดาวน์โหลด แต่ก็พบว่าคำสั่งต่อไปนี้ในราก htaccess เป็นประโยชน์:

RewriteRule ^downloader/ - [L,R=404]

ซึ่งจะทำให้ Apache ส่งการตอบสนอง 404 แม้ว่าจะมีไดเรกทอรีดาวน์โหลดอยู่

— เฟเบียน Schmengler
แหล่งที่มา

ฉันชอบวิธีนี้เหมือนกัน

— SR_Magento

1

ไม่ทำงานสำหรับคำขอดาวน์โหลดทั้งหมด ลองwww.mysite.com/index.php/myadminurl/index/downloader

— เดวิดวิลกินส์

แม้ว่าวิธีการในความคิดเห็นอื่น ๆ ของฉันไม่ได้เข้าถึงตัวดาวน์โหลดจริง ๆ แต่เป็นเพียงทางลัด (ทางลัด?) ในการเข้าสู่ระบบของผู้ดูแลระบบ ใครบางคนจะต้องรู้ว่า adminurl ของคุณทำงานได้ หากคุณยังไม่ได้ทำการแก้ไขช่องโหว่การเปิดเผยของ adminurl อาจเป็นไปได้ว่ามีคนได้รับ

— David Wilkins

ทำงานให้ฉันด้วย ความสมบูรณ์แบบ

— sandip

5

สิ่งที่เกี่ยวกับการเปลี่ยนชื่อโฟลเดอร์ดาวน์โหลด ในกรณีที่มีความต้องการสามารถเปลี่ยนชื่อกลับเป็น "ดาวน์โหลด" ได้อย่างง่ายดายทำการอัปเดตและติดตั้งตามต้องการจากนั้นเปลี่ยนใหม่อีกครั้ง ดูเหมือนว่าจะทำงานให้ฉัน

— dadda
แหล่งที่มา