Empfohlene Methode zum Schutz / Downloader?

29

Da Magento den / downloader verwendet , um Programme bequem über Magento Connect Manager zu installieren, ist dies offensichtlich auch ein Sicherheitsrisiko, da Bots oder Personen die Möglichkeit haben, Anmeldeinformationen für die Installation zu erlernen.

Beim Überprüfen der Zugriffsprotokolle auf meine Website wurde ich über die Anzahl der Versuche alarmiert, auf die Website www.mysite.com/downloader zuzugreifen

Als Workaround habe ich mir angewöhnt, das Downloader-Verzeichnis in downloader.offline umzubenennen, vergesse es aber gelegentlich. (Entweder um es wieder umzubenennen, um ein Programm zu installieren, oder nachdem ich fertig bin).

Was ist die empfohlene Methode, um diesen Link zu schützen?

security magento-connect downloader SR_Magento
quelle

Antworten:

35

Fügen Sie einfach eine .htaccess-Datei (oder nginx / whatever a config) in das downloaderVerzeichnis ein, Disallow from allin dem sich jede Anforderung für das Verzeichnis befindet.

Wenn Sie ein paar IP - Adressen zulassen möchten (wie Ihre eigenen), versuchen Sie etwas in Ihrer .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

Wo 1.2.3.4und 5.6.7.8sind IP-Adressen, die Sie durchlassen möchten.

Mein bevorzugter Weg: Einfach löschen downloader

Fabian Blechschmidt
quelle
1
Klar, niemand kann dann darauf zugreifen. Befindet sich Magento in diesem Pfad? Dann musst du <ip> zulassen oder die Berechtigung verwenden
Fabian Blechschmidt
7
Oder besser noch, benutze den Downloader überhaupt nicht.
Daniel Sloof
3
Na sicher! Magento Connect ermöglicht keine zuverlässige Wiedergabe des Systemstatus und die Verwendung eines Versionskontrollsystems. Ich empfehle, Modman oder einen besseren Komponisten zu verwenden!
Fabian Blechschmidt
1
Komponist FTW - Fabian ist tot hier.
Bryan 'BJ' Hoffpauir Jr.
1
Download ist das Magento Connect Verzeichnis. Wenn dies Probleme macht, scheint diese Erweiterung sehr kaputt zu sein?
Fabian Blechschmidt
17

Zusammen mit der Empfehlung von @ daniel-sloof würde ich sagen, den Magento Connect-Installer ganz fallen zu lassen. Ich füge es im Allgemeinen hinzu, .gitignorewenn ich ein neues Repository einrichte.

Der Grund dafür ist, wie Fabian in seinen Antwortkommentaren ausführt, dass es keine Möglichkeit gibt, die Replikation Ihrer Produktionsumgebung in der Quellcodeverwaltung sicherzustellen, ohne die Pakete von Connect zu übernehmen. Die Funktion, die Sie hier verlieren werden, ist die Möglichkeit, Pakete von Connect zu aktualisieren / zu aktualisieren. Wenn Sie diese Funktionalität jedoch wirklich benötigen, können Sie sie immer lokal auf Ihrer Entwicklungsbox ausführen und die Ergebnisse festschreiben, wenn Sie zufrieden sind, dass sie funktionieren.

tl; dr:

Löschen Sie den /downloaderOrdner oder entfernen Sie ihn aus Ihrer Quellcodeverwaltung.

Philwinkle
quelle
1
Irgendwie nervig, keinen Zugang mehr zu ./mage zu haben. Ich ./mage installgehe davon aus, dass der CLI-Befehl nur ein Wrapper für Magento Connect ist. edit: Eigentlich kann ich einfach benutzen magerun extension:install:)
Erfan
: / N98-Magerun ist auch ein Wrapper für downloader/mage.php. Ich vermute, Sie könnten einfach den Kopierer / Downloader in Ihre lokale Entwicklerumgebung kopieren, wenn Sie etwas installieren müssen
Erfan,
Aus irgendeinem Grund starte ich immer nur ./mage als Dateidownloader auf meinem Entwicklungsserver. Es ist nur ein Grund für die Existenz in Live-Umgebungen, dass Patch-Abhängigkeiten mehr bestehen.
Fiasco Labs
6

Normalerweise lösche ich das Downloader-Verzeichnis, fand aber auch die folgende Direktive im root-htaccess hilfreich:

RewriteRule ^downloader/ - [L,R=404]

Dadurch sendet Apache eine 404-Antwort, auch wenn das Download-Verzeichnis vorhanden ist.

Fabian Schmengler
quelle
Ich mag diese Methode auch
SR_Magento
1
Funktioniert nicht bei allen Download-Anfragen. Versuchwww.mysite.com/index.php/myadminurl/index/downloader
David Wilkins
Obwohl die Methode in meinem anderen Kommentar nicht wirklich auf den Downloader zugreift, handelt es sich nur um eine Verknüpfung (Longcut?) Zum Administrator-Login. Jemand müsste Ihre Administrator-ID kennen, damit dies funktioniert. Wenn Sie die Sicherheitsanfälligkeit in Bezug auf die Offenlegung von Administratorrechten nicht behoben haben, wird diese wahrscheinlich von jemandem abgerufen.
David Wilkins
arbeitete auch für mich. Perfection
Sandip
5

Was ist mit dem Umbenennen des Downloader-Ordners? Im Bedarfsfall kann einfach wieder auf "Downloader" umbenannt werden, wobei nach Bedarf ein Update und eine Installation durchgeführt und anschließend erneut geändert werden. Es scheint für mich zu funktionieren.

Papa
quelle