¿Método recomendado para proteger / descargar?

29

Dado que Magento utiliza el / downloader como una forma de instalar programas convenientemente a través de Magento Connect Manager , es evidente que esto también es un problema de seguridad, ya que permite la posibilidad de que los bots o personas intenten aprender las credenciales para la instalación.

Al revisar los registros de acceso a mi sitio web, me alarmó la cantidad de intentos que realizó en www.mysite.com/downloader

Como solución, me he acostumbrado a cambiar el nombre del directorio de descarga a downloader.offline, pero a veces lo olvido. (Ya sea para cambiarle el nombre para instalar un programa o después de que haya terminado).

¿Cuál es el método recomendado para proteger este enlace?

security magento-connect downloader SR_Magento
fuente

Respuestas:

35

Simplemente coloque un .htaccess (o si nginx / whatever una configuración) en el downloaderdirectorio Disallow from allque contiene para prohibir cualquier solicitud en el directorio.

Si desea permitir algunas direcciones IP (como la suya), intente algo como esto en su .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

Dónde 1.2.3.4y dónde 5.6.7.8están las direcciones IP que desea dejar pasar.

Mi forma preferida: simplemente eliminar downloader

Fabian Blechschmidt
fuente
1
Claro, nadie puede acceder a ella entonces. ¿Magento se conecta en este camino? Entonces necesita Permitir desde <ip> o usar autorización
Fabian Blechschmidt
77
O mejor aún, no use el descargador en absoluto.
Daniel Sloof
3
¡Por supuesto! Magento connect no permite una reproducción confiable del estado del sistema y el uso de un sistema de control de versiones. ¡Recomiendo usar modman o un mejor compositor!
Fabian Blechschmidt
1
Compositor FTW - Fabian está muerto aquí.
Bryan 'BJ' Hoffpauir Jr.
1
descargar es el directorio de conexión de magento. Si esto genera problemas, esta extensión parece estar muy rota.
Fabian Blechschmidt
17

Junto con la recomendación de @ daniel-sloof, diría que elimine el instalador de Magento Connect por completo. Generalmente lo agrego .gitignorecuando configuro un nuevo repositorio.

La razón es, como Fabian señala en sus comentarios de respuesta, que no hay forma de garantizar la replicación de su entorno de producción en el control de origen sin comprometer los paquetes de Connect. La característica que perderá aquí es la capacidad de actualizar / actualizar paquetes de Connect, pero si realmente necesita esa funcionalidad, siempre puede hacerlo localmente en su cuadro de desarrollo y confirmar los resultados cuando esté satisfecho de que funcionan.

tl; dr:

Elimine la /downloadercarpeta o elimínela de su control de origen.

philwinkle
fuente
1
Sin embargo, es un poco molesto, ya no tener acceso a ./mage. Supongo que el ./mage installcomando CLI es solo un contenedor para Magento Connect. editar: En realidad solo puedo usar magerun extension:install:)
Erfan
: / N98-Magerun también es un contenedor para downloader/mage.php. Supongo que podría copiar / descargar en su entorno de desarrollo local si necesita instalar algo
Erfan
Por alguna razón, solo me encuentro ejecutando ./mage como un descargador de archivos en mi servidor de desarrollo. Su única razón de existir en entornos en vivo es la dependencia de parches.
Fiasco Labs
6

Por lo general, elimino el directorio de descarga, pero también encontré útil la siguiente directiva en la raíz htaccess:

RewriteRule ^downloader/ - [L,R=404]

Lo que hará que Apache envíe una respuesta 404 incluso si el directorio de descarga está presente.

Fabian Schmengler
fuente
También me gusta este método
SR_Magento
1
No funciona para todas las solicitudes de descarga. intentarwww.mysite.com/index.php/myadminurl/index/downloader
David Wilkins
Aunque, el método en mi otro comentario no está realmente accediendo al descargador, es solo un acceso directo (¿acceso directo?) Al inicio de sesión de administrador. Alguien tendría que conocer su administración para que esto funcione. Si no ha parcheado la vulnerabilidad de divulgación administrativa, es probable que alguien la obtenga.
David Wilkins
Trabajó para mí también. Perfección
sandip
5

¿Qué pasa con el cambio de nombre de la carpeta de descarga? En caso de necesidad, se puede cambiar fácilmente el nombre a "descargador", actualizando e instalando según sea necesario, y luego volviéndolo a cambiar. Parece funcionar para mí

Dadda
fuente