Método recomendado para proteger / downloader?

29

Como o Magento usa o / downloader como uma maneira conveniente de instalar programas via Magento Connect Manager , é evidente que isso também é uma preocupação de segurança, pois permite a possibilidade de bots ou pessoas tentarem obter credenciais para a instalação.

Ao verificar os registros de acesso ao meu site, fiquei alarmado com a quantidade de tentativas no site www.mysite.com/downloader

Como alternativa, adquiri o hábito de renomear o diretório downloader para downloader.offline, mas ocasionalmente esqueço. (Para renomeá-lo novamente para instalar um programa ou depois que terminar).

Qual é o método recomendado para proteger esse link?

security magento-connect downloader SR_Magento
fonte

Respostas:

35

Basta colocar um .htaccess (ou se nginx / qualquer configuração) no downloaderdiretório Disallow from allpara proibir qualquer solicitação no diretório.

Se você deseja permitir alguns endereços IP (como o seu), tente algo como isto em seu .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

Onde 1.2.3.4e quais 5.6.7.8são os endereços IP que você deseja transmitir.

Minha maneira preferida: basta excluir downloader

Fabian Blechschmidt
fonte
1
Claro, ninguém pode acessá-lo então. O Magento está conectado nesse caminho? Então você precisa Permitir de <ip> ou usar autorização #
Fabian Blechschmidt
7
Ou melhor ainda, não use o downloader.
Daniel Sloof
3
Claro! O Magento connect não permite a reprodução confiável do status do sistema e o uso de um sistema de controle de versão. Eu recomendo usar o modman ou melhor compositor!
Fabian Blechschmidt
1
Compositor FTW - Fabian está morto aqui.
Bryan 'BJ' Hoffpauir Jr.
1
download é o diretório de conexão do magento. Se isso causar problemas, esta extensão parece estar muito danificada?
Fabian Blechschmidt
17

Junto com a recomendação de @ daniel-sloof, eu diria para abandonar completamente o instalador do Magento Connect. Eu geralmente o adiciono ao .gitignoreconfigurar um novo repositório.

O motivo é que, como Fabian aponta em sua resposta, comenta que não há como garantir a replicação do seu ambiente de produção no controle de origem sem confirmar os pacotes do Connect. O recurso que você estará perdendo aqui é a capacidade de atualizar / atualizar pacotes do Connect - mas se você realmente precisar dessa funcionalidade, sempre poderá fazê-lo localmente na sua caixa de desenvolvimento e confirmar os resultados quando estiver satisfeito com o funcionamento.

tl; dr:

Exclua a /downloaderpasta ou remova-a do seu controle de origem.

philwinkle
fonte
1
Meio chato, porém, não ter mais acesso a ./mage. Presumo que o ./mage installcomando da CLI seja apenas um invólucro para o Magento Connect. Edit: Na verdade eu só posso usar magerun extension:install:)
Erfan
: / N98-Magerun também é um invólucro para downloader/mage.php. Eu acho que você só poderia copiar / downloader para o seu ambiente local dev se você precisa instalar algo
Erfan
Por alguma razão, eu só me vejo executando ./mage como um downloader de arquivos no meu servidor de desenvolvimento. A única razão para a existência em ambientes ao vivo é a dependência de patches.
Fiasco Labs
6

Normalmente, excluo o diretório do downloader, mas também achei a seguinte diretiva no htaccess raiz útil:

RewriteRule ^downloader/ - [L,R=404]

O que fará com que o Apache envie uma resposta 404, mesmo que o diretório do downloader esteja presente.

Fabian Schmengler
fonte
Eu gosto deste método também
SR_Magento
1
Não funciona para todas as solicitações de download. tente #www.mysite.com/index.php/myadminurl/index/downloader
1955 David Wilkins
Embora o método no meu outro comentário não esteja realmente acessando o downloader, é apenas um atalho (atalho?) Para o login do administrador. Alguém precisaria conhecer seu administrador para que isso funcionasse. se você não corrigiu a vulnerabilidade de divulgação administrativa, é provável que alguém a obtenha.
21416 David Wilkins #
trabalhou para mim também. Perfeição
sandip
5

que tal renomear a pasta do downloader? Em caso de necessidade, é possível renomear facilmente de volta para "downloader", atualizando e instalando conforme necessário e alterando-o novamente. Parece funcionar para mim.

dadda
fonte