Como o Magento usa o / downloader como uma maneira conveniente de instalar programas via Magento Connect Manager , é evidente que isso também é uma preocupação de segurança, pois permite a possibilidade de bots ou pessoas tentarem obter credenciais para a instalação.
Ao verificar os registros de acesso ao meu site, fiquei alarmado com a quantidade de tentativas no site www.mysite.com/downloader
Como alternativa, adquiri o hábito de renomear o diretório downloader para downloader.offline, mas ocasionalmente esqueço. (Para renomeá-lo novamente para instalar um programa ou depois que terminar).
Qual é o método recomendado para proteger esse link?
fonte
Junto com a recomendação de @ daniel-sloof, eu diria para abandonar completamente o instalador do Magento Connect. Eu geralmente o adiciono ao
.gitignore
configurar um novo repositório.O motivo é que, como Fabian aponta em sua resposta, comenta que não há como garantir a replicação do seu ambiente de produção no controle de origem sem confirmar os pacotes do Connect. O recurso que você estará perdendo aqui é a capacidade de atualizar / atualizar pacotes do Connect - mas se você realmente precisar dessa funcionalidade, sempre poderá fazê-lo localmente na sua caixa de desenvolvimento e confirmar os resultados quando estiver satisfeito com o funcionamento.
tl; dr:
Exclua a
/downloader
pasta ou remova-a do seu controle de origem.fonte
./mage install
comando da CLI seja apenas um invólucro para o Magento Connect. Edit: Na verdade eu só posso usarmagerun extension:install
:)downloader/mage.php
. Eu acho que você só poderia copiar / downloader para o seu ambiente local dev se você precisa instalar algoNormalmente, excluo o diretório do downloader, mas também achei a seguinte diretiva no htaccess raiz útil:
O que fará com que o Apache envie uma resposta 404, mesmo que o diretório do downloader esteja presente.
fonte
www.mysite.com/index.php/myadminurl/index/downloader
que tal renomear a pasta do downloader? Em caso de necessidade, é possível renomear facilmente de volta para "downloader", atualizando e instalando conforme necessário e alterando-o novamente. Parece funcionar para mim.
fonte