由于Magento使用/ downloader作为通过Magento Connect Manager方便地安装程序的方式,因此显然这也是一个安全问题,因为它允许机器人或人们尝试学习安装凭据。
在查看对我网站的访问日志时,我对尝试访问www.mysite.com/downloader的次数感到震惊
作为一个工作,我身边已经得到了进入重命名下载目录的习惯downloader.offline,但偶尔我忘记了。(或者将其重命名以安装程序,或者在完成之后)。
建议使用什么方法来保护此链接?
由于Magento使用/ downloader作为通过Magento Connect Manager方便地安装程序的方式,因此显然这也是一个安全问题,因为它允许机器人或人们尝试学习安装凭据。
在查看对我网站的访问日志时,我对尝试访问www.mysite.com/downloader的次数感到震惊
作为一个工作,我身边已经得到了进入重命名下载目录的习惯downloader.offline,但偶尔我忘记了。(或者将其重命名以安装程序,或者在完成之后)。
建议使用什么方法来保护此链接?
Answers:
只需将.htaccess(或nginx /任何配置)放入其中的downloader目录,Disallow from all以禁止对该目录的任何请求。
如果您想允许输入一些IP地址(例如您自己的IP地址),请在 .htaccess
order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8在哪里1.2.3.4和5.6.7.8你想要让通过IP地址。
我的首选方式:删除 downloader
连同@ daniel-sloof的建议,我想说完全放弃Magento Connect安装程序。我通常.gitignore在设置新存储库时将其添加到。
正如Fabian在他的答复评论中指出的那样,原因是,如果不从Connect提交软件包,就无法确保在源代码控制中复制生产环境。您将在这里失去的功能是可以从Connect更新/升级软件包的功能-但是,如果您确实需要此功能,则可以始终在开发人员盒中本地进行操作,并在满意它们的工作结果时提交结果。
tl; dr:
删除/downloader文件夹或将其从源代码管理中删除。
./mage installCLI命令只是Magento Connect的包装。编辑:实际上我只能使用magerun extension:install:)
downloader/mage.php。我想如果您需要安装某些东西,您可以只将/ downloader复制到本地开发环境
我通常删除downloader目录,但在htaccess根目录中发现以下指令也很有帮助:
RewriteRule ^downloader/ - [L,R=404]即使存在下载器目录,这也将使Apache发送404响应。
www.mysite.com/index.php/myadminurl/index/downloader