Método recomendado para proteger / downloader?

29

Como o Magento usa o / downloader como uma maneira conveniente de instalar programas via Magento Connect Manager , é evidente que isso também é uma preocupação de segurança, pois permite a possibilidade de bots ou pessoas tentarem obter credenciais para a instalação.

Ao verificar os registros de acesso ao meu site, fiquei alarmado com a quantidade de tentativas no site www.mysite.com/downloader

Como alternativa, adquiri o hábito de renomear o diretório downloader para downloader.offline, mas ocasionalmente esqueço. (Para renomeá-lo novamente para instalar um programa ou depois que terminar).

Qual é o método recomendado para proteger esse link?

security magento-connect downloader

— SR_Magento
fonte

35

Basta colocar um .htaccess (ou se nginx / qualquer configuração) no downloaderdiretório Disallow from allpara proibir qualquer solicitação no diretório.

Se você deseja permitir alguns endereços IP (como o seu), tente algo como isto em seu .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

Onde 1.2.3.4e quais 5.6.7.8são os endereços IP que você deseja transmitir.

Minha maneira preferida: basta excluir downloader

— Fabian Blechschmidt
fonte

1

Claro, ninguém pode acessá-lo então. O Magento está conectado nesse caminho? Então você precisa Permitir de <ip> ou usar autorização #

— Fabian Blechschmidt

7

Ou melhor ainda, não use o downloader.

— Daniel Sloof

3

Claro! O Magento connect não permite a reprodução confiável do status do sistema e o uso de um sistema de controle de versão. Eu recomendo usar o modman ou melhor compositor!

— Fabian Blechschmidt

1

Compositor FTW - Fabian está morto aqui.

— Bryan 'BJ' Hoffpauir Jr.

1

download é o diretório de conexão do magento. Se isso causar problemas, esta extensão parece estar muito danificada?

— Fabian Blechschmidt

17

Junto com a recomendação de @ daniel-sloof, eu diria para abandonar completamente o instalador do Magento Connect. Eu geralmente o adiciono ao .gitignoreconfigurar um novo repositório.

O motivo é que, como Fabian aponta em sua resposta, comenta que não há como garantir a replicação do seu ambiente de produção no controle de origem sem confirmar os pacotes do Connect. O recurso que você estará perdendo aqui é a capacidade de atualizar / atualizar pacotes do Connect - mas se você realmente precisar dessa funcionalidade, sempre poderá fazê-lo localmente na sua caixa de desenvolvimento e confirmar os resultados quando estiver satisfeito com o funcionamento.

tl; dr:

Exclua a /downloaderpasta ou remova-a do seu controle de origem.

— philwinkle
fonte

1

Meio chato, porém, não ter mais acesso a ./mage. Presumo que o ./mage installcomando da CLI seja apenas um invólucro para o Magento Connect. Edit: Na verdade eu só posso usar magerun extension:install:)

— Erfan

: / N98-Magerun também é um invólucro para downloader/mage.php. Eu acho que você só poderia copiar / downloader para o seu ambiente local dev se você precisa instalar algo

— Erfan

Por alguma razão, eu só me vejo executando ./mage como um downloader de arquivos no meu servidor de desenvolvimento. A única razão para a existência em ambientes ao vivo é a dependência de patches.

— Fiasco Labs

6

Normalmente, excluo o diretório do downloader, mas também achei a seguinte diretiva no htaccess raiz útil:

RewriteRule ^downloader/ - [L,R=404]

O que fará com que o Apache envie uma resposta 404, mesmo que o diretório do downloader esteja presente.

— Fabian Schmengler
fonte

Eu gosto deste método também

— SR_Magento

1

Não funciona para todas as solicitações de download. tente #www.mysite.com/index.php/myadminurl/index/downloader

— 1955 David Wilkins

Embora o método no meu outro comentário não esteja realmente acessando o downloader, é apenas um atalho (atalho?) Para o login do administrador. Alguém precisaria conhecer seu administrador para que isso funcionasse. se você não corrigiu a vulnerabilidade de divulgação administrativa, é provável que alguém a obtenha.

— 21416 David Wilkins #

trabalhou para mim também. Perfeição

— sandip

5

que tal renomear a pasta do downloader? Em caso de necessidade, é possível renomear facilmente de volta para "downloader", atualizando e instalando conforme necessário e alterando-o novamente. Parece funcionar para mim.

— dadda
fonte