推荐的方法来保护/下载器?


29

由于Magento使用/ downloader作为通过Magento Connect Manager方便地安装程序的方式,因此显然这也是一个安全问题,因为它允许机器人或人们尝试学习安装凭据。

在查看对我网站的访问日志时,我对尝试访问www.mysite.com/downloader的次数感到震惊

作为一个工作,我身边已经得到了进入重命名下载目录的习惯downloader.offline,但偶尔我忘记了。(或者将其重命名以安装程序,或者在完成之后)。

建议使用什么方法来保护此链接?

Answers:


35

只需将.htaccess(或nginx /任何配置)放入其中的downloader目录,Disallow from all以禁止对该目录的任何请求。

如果您想允许输入一些IP地址(例如您自己的IP地址),请在 .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

在哪里1.2.3.45.6.7.8你想要让通过IP地址。

我的首选方式:删除 downloader


1
当然,没有人可以访问它。Magento是否在这条道路上连接?然后,您需要允许<ip>或使用授权
Fabian Blechschmidt 2014年

7
或者更好的是,根本不用下载器。
Daniel Sloof 2014年

3
当然!Magento connect不允许可靠地复制系统状态和使用版本控制系统。我建议使用modman或更好的作曲家!
Fabian Blechschmidt 2014年

1
作曲家FTW-Fabian在这里死了。
Bryan'BJ'Hoffpauir Jr.

1
下载是magento连接目录。如果这引起问题,则此扩展似乎已被破坏?
Fabian Blechschmidt,2015年

17

连同@ daniel-sloof的建议,我想说完全放弃Magento Connect安装程序。我通常.gitignore在设置新存储库时将其添加到。

正如Fabian在他的答复评论中指出的那样,原因是,如果不从Connect提交软件包,就无法确保在源代码控制中复制生产环境。您将在这里失去的功能是可以从Connect更新/升级软件包的功能-但是,如果您确实需要此功能,则可以始终在开发人员盒中本地进行操作,并在满意它们的工作结果时提交结果。

tl; dr:

删除/downloader文件夹或将其从源代码管理中删除。


1
虽然有点烦人,但是再也无法访问./mage了。我假设./mage installCLI命令只是Magento Connect的包装。编辑:实际上我只能使用magerun extension:install:)
Erfan 2015年

:/ N98-Magerun也是的包装downloader/mage.php。我想如果您需要安装某些东西,您可以只将/ downloader复制到本地开发环境
Erfan 2015年

由于某种原因,我再也无法在自己的开发服务器上以./mage的身份运行文件下载器。生存环境中存在的唯一原因就是补丁依赖性。
Fiasco Labs 2015年

6

我通常删除downloader目录,但在htaccess根目录中发现以下指令也很有帮助:

RewriteRule ^downloader/ - [L,R=404]

即使存在下载器目录,这也将使Apache发送404响应。


我也喜欢这种方法
SR_Magento 2016年

1
不适用于所有下载程序请求。尝试www.mysite.com/index.php/myadminurl/index/downloader
David Wilkins,

虽然,在我的其他评论中,该方法并没有真正访问下载程序,但这只是管理员登录的快捷方式(longcut?)。某人必须知道您的adminurl才能起作用。如果您尚未修补adminurl披露漏洞,则很可能有人可以获取它。
David Wilkins

也为我工作。完美
sandip

5

重命名下载文件夹怎么办?如果需要,可以轻松地将其重命名为“下载器”,根据需要进行更新和安装,然后再次进行更改。它似乎为我工作。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.