Metode yang disarankan untuk melindungi / mengunduh?

29

Karena Magento menggunakan / pengunduh sebagai cara untuk menginstal program dengan mudah melalui Magento Connect Manager , jelas bahwa ini juga merupakan masalah keamanan karena memungkinkan bot atau orang untuk mencoba mempelajari kredensial untuk instalasi.

Saat memeriksa log akses ke situs web saya, saya terkejut dengan banyaknya upaya yang dilakukan oleh www.mysite.com/downloader

Sebagai pekerjaan di sekitar saya sudah terbiasa mengubah nama direktori pengunduh ke downloader.offline tetapi kadang-kadang saya lupa. (Entah untuk mengubah nama kembali untuk menginstal program atau setelah saya selesai).

Apa metode yang disarankan untuk melindungi tautan ini?

security magento-connect downloader SR_Magento
sumber

Jawaban:

35

Masukkan saja .htaccess (atau jika nginx / apapun konfigurasi) ke dalam downloaderdirektoriDisallow from all untuk melarang permintaan pada direktori.

Jika Anda ingin mengizinkan beberapa alamat IP di (seperti milik Anda), coba sesuatu seperti ini di .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

Di mana 1.2.3.4dan 5.6.7.8adalah alamat IP yang ingin Anda lewati.

Cara pilihan saya: Hapus saja downloader

Fabian Blechschmidt
sumber
1
Tentu, tidak ada yang bisa mengaksesnya. Apakah Magento terhubung di jalur ini? Maka Anda perlu Membolehkan dari <ip> atau menggunakan otorisasi
Fabian Blechschmidt
7
Atau lebih baik lagi, jangan menggunakan pengunduh sama sekali.
Daniel Sloof
3
Tentu saja! Magento connect tidak memungkinkan reproduksi status sistem yang andal dan menggunakan sistem kontrol versi. Saya merekomendasikan untuk menggunakan modman atau komposer yang lebih baik!
Fabian Blechschmidt
1
Composer FTW - Fabian sudah mati di sini.
Bryan 'BJ' Hoffpauir Jr
1
unduh adalah direktori terhubung magento. Jika ini membuat masalah ekstensi ini tampaknya sangat rusak?
Fabian Blechschmidt
17

Bersamaan dengan rekomendasi @ daniel-sloof saya akan mengatakan untuk membuang installer Magento Connect sama sekali. Saya biasanya menambahkannya ke.gitignore ketika mengatur repositori baru.

Alasannya adalah, seperti yang ditunjukkan oleh Fabian dalam komentar jawabannya, bahwa tidak ada cara untuk memastikan replikasi lingkungan produksi Anda dalam kontrol sumber tanpa melakukan paket dari Connect. Fitur yang Anda akan kehilangan di sini adalah kemampuan untuk memperbarui / meningkatkan paket dari Connect - tetapi jika Anda benar-benar membutuhkan fungsionalitas itu, Anda selalu dapat melakukannya secara lokal di kotak dev Anda dan melakukan hasilnya ketika Anda puas bahwa mereka berfungsi.

tl; dr:

Hapus /downloaderfolder atau hapus dari kontrol sumber Anda.

Philwinkle
sumber
1
Agak menyebalkan, tidak memiliki akses ke ./mage lagi. Saya menganggap ./mage installperintah CLI hanyalah pembungkus untuk Magento Connect. sunting: Sebenarnya saya hanya bisa menggunakan magerun extension:install:)
Erfan
: / N98-Magerun juga merupakan pembungkus untuk downloader/mage.php. Saya kira Anda bisa menyalin / mengunduh ke lingkungan dev lokal Anda jika Anda perlu menginstal sesuatu
Erfan
Untuk beberapa alasan, saya hanya menemukan diri saya menjalankan ./mage sebagai pengunduh file di server pengembangan saya lagi. Satu-satunya alasan keberadaan di lingkungan hidup adalah dependensi tambalan lagi.
Fiasco Labs
6

Saya biasanya menghapus direktori pengunduh, tetapi juga menemukan arahan berikut di root htaccess membantu:

RewriteRule ^downloader/ - [L,R=404]

Yang akan membuat Apache mengirim respons 404 bahkan jika direktori pengunduh hadir.

Fabian Schmengler
sumber
Saya suka metode ini juga
SR_Magento
1
Tidak berfungsi untuk semua permintaan pengunduh. cobawww.mysite.com/index.php/myadminurl/index/downloader
David Wilkins
Meskipun, metode di komentar saya yang lain tidak benar-benar mengakses pengunduh, itu hanya jalan pintas (terpotong?) Ke login admin. Seseorang harus mengetahui administrasi Anda agar ini berfungsi. jika Anda belum menambal kerentanan pengungkapan adminurl, kemungkinan seseorang akan mendapatkannya.
David Wilkins
bekerja untuk saya juga. Kesempurnaan
sandip
5

bagaimana dengan mengganti nama folder pengunduh? Jika perlu dapat dengan mudah diganti namanya menjadi "pengunduh", melakukan pembaruan dan menginstal sesuai kebutuhan, dan kemudian mengubahnya lagi. Sepertinya itu bekerja untuk saya.

dadda
sumber