Méthode recommandée pour protéger / télécharger?

29

Étant donné que Magento utilise le / downloader comme moyen d'installer facilement des programmes via Magento Connect Manager, il est évident que c'est également un problème de sécurité car il permet aux bots ou aux personnes de tenter d'apprendre les informations d'identification pour l'installation.

En vérifiant les journaux d'accès à mon site Web, j'ai été alarmé par le nombre de tentatives d' accès à www.mysite.com/downloader

En guise de solution, j'ai pris l'habitude de renommer le répertoire du téléchargeur en downloader.offline mais parfois j'oublie. (Soit pour le renommer en arrière pour installer un programme ou après avoir fini).

Quelle est la méthode recommandée pour protéger ce lien?

security magento-connect downloader SR_Magento
la source

Réponses:

35

Il suffit de mettre un .htaccess (ou si nginx / quelque soit une config) dans le downloaderrépertoire avec Disallow from alldedans pour interdire toute requête sur le répertoire.

Si vous souhaitez autoriser quelques adresses IP (comme la vôtre), essayez quelque chose comme ceci dans votre .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

1.2.3.4et 5.6.7.8quelles adresses IP vous souhaitez laisser passer.

Ma façon préférée: il suffit de supprimer downloader

Fabian Blechschmidt
la source
1
Bien sûr, personne ne peut y accéder. Magento est-il connecté dans ce chemin? Ensuite, vous devez autoriser à partir de <ip> ou utiliser une autorisation
Fabian Blechschmidt
7
Ou mieux encore, n'utilisez pas du tout le téléchargeur.
Daniel Sloof
3
Bien sûr! Magento connect ne permet pas une reproduction fiable de l'état du système et l'utilisation d'un système de contrôle de version. Je recommande d'utiliser Modman ou un meilleur compositeur!
Fabian Blechschmidt
1
Compositeur FTW - Fabian est mort ici.
Bryan 'BJ' Hoffpauir Jr.1
1
le téléchargement est le répertoire de connexion magento. Si cela pose problème, cette extension semble très cassée?
Fabian Blechschmidt
17

Avec la recommandation de @ daniel-sloof, je dirais d'abandonner complètement le programme d'installation de Magento Connect. Je l'ajoute généralement à la .gitignoreconfiguration d'un nouveau référentiel.

La raison étant, comme le souligne Fabian dans ses commentaires de réponse, qu'il n'y a aucun moyen d'assurer la réplication de votre environnement de production dans le contrôle de code source sans valider les packages de Connect. La fonctionnalité que vous perdrez ici est la possibilité de mettre à jour / mettre à niveau les packages de Connect - mais si vous avez vraiment besoin de cette fonctionnalité, vous pouvez toujours le faire localement sur votre boîte de développement et valider les résultats lorsque vous êtes satisfait qu'ils fonctionnent.

tl; dr:

Supprimez le /downloaderdossier ou supprimez-le de votre contrôle de code source.

philwinkle
la source
1
Un peu ennuyeux cependant, de ne plus avoir accès à ./mage. Je suppose que la ./mage installcommande CLI n'est qu'un wrapper pour Magento Connect. edit: En fait, je peux juste utiliser magerun extension:install:)
Erfan
: / N98-Magerun est également un wrapper pour downloader/mage.php. Je suppose que vous pouvez simplement copier / télécharger dans votre environnement de développement local si vous avez besoin d'installer quelque chose
Erfan
Pour une raison quelconque, je ne me retrouve plus à exécuter ./mage en tant que téléchargeur de fichiers sur mon serveur de développement. La seule raison pour laquelle l'existence dans des environnements en direct est plus les dépendances des correctifs.
Fiasco Labs du
6

Je supprime généralement le répertoire du téléchargeur, mais j'ai également trouvé la directive suivante dans la racine htaccess utile:

RewriteRule ^downloader/ - [L,R=404]

Ce qui fera qu'Apache enverra une réponse 404 même si le répertoire du téléchargeur est présent.

Fabian Schmengler
la source
J'aime aussi cette méthode
SR_Magento
1
Ne fonctionne pas pour toutes les demandes de téléchargement. essayerwww.mysite.com/index.php/myadminurl/index/downloader
David Wilkins
Bien que la méthode de mon autre commentaire n'accède pas vraiment au téléchargeur, c'est juste un raccourci (raccourci?) Vers la connexion administrateur. Quelqu'un devrait connaître votre administrateur pour que cela fonctionne. si vous n'avez pas corrigé la vulnérabilité de divulgation d'administration, il est probable que quelqu'un l'obtienne.
David Wilkins
travaillé pour moi aussi. Perfection
sandip
5

qu'en est-il de renommer le dossier du téléchargeur? En cas de besoin, vous pouvez facilement le renommer en "téléchargeur", en effectuant la mise à jour et l'installation au besoin, puis en le modifiant à nouveau. Il semble fonctionner pour moi.

papa
la source