Magento는 Magento Connect Manager 를 통해 프로그램을 편리하게 설치하는 방법으로 / downloader 를 사용하기 때문에 봇이나 사람들이 설치 자격 증명을 학습 할 수 있기 때문에 이는 보안 문제이기도합니다.
내 웹 사이트에 대한 액세스 로그를 확인한 후 www.mysite.com/downloader 에 대한 시도 횟수에 놀랐습니다.
나는 주위에 작업에 다운 디렉토리의 이름을 변경하는 습관을받은했듯이 downloader.offline을 하지만 때때로 나는 잊는다. (프로그램을 설치하기 위해 또는 완료 한 후에 이름을 다시 바꿉니다).
이 링크를 보호하기 위해 권장되는 방법은 무엇입니까?
답변:
downloader디렉토리에 Disallow from all대한 요청을 금지하기 위해 .htaccess (또는 nginx / 구성이있는 경우)를 디렉토리에 넣으십시오 .
자신의 IP 주소와 같은 몇 개의 IP 주소를 허용하려면 다음과 같이 해보십시오. .htaccess
order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8어디 1.2.3.4와 5.6.7.8당신을 통해 수 있도록하려면 IP 주소입니다.
내가 선호하는 방법 : 그냥 삭제 downloader
@ daniel-sloof의 권장 사항과 함께 Magento Connect 설치 프로그램을 모두 버려야한다고 말하고 싶습니다. 일반적으로 .gitignore새 저장소를 설정할 때 추가 합니다.
Fabian이 자신의 답변에서 지적한 것처럼 Connect에서 패키지를 커밋하지 않고 소스 제어에서 프로덕션 환경을 복제 할 수있는 방법이 없기 때문입니다. 여기서 잃어 버릴 기능은 Connect에서 패키지를 업데이트 / 업그레이드하는 기능입니다. 그러나 해당 기능이 실제로 필요한 경우 항상 dev 상자에서 로컬로 수행하고 작업이 만족할 때 결과를 커밋 할 수 있습니다.
tl; dr :
/downloader폴더를 삭제 하거나 소스 컨트롤에서 제거하십시오.
./mage installCLI 명령은 Magento Connect의 래퍼 라고 가정 합니다. 편집 : 실제로 나는 단지 사용할 수 있습니다 magerun extension:install:)
downloader/mage.php. 무언가를 설치해야 할 경우 로컬 개발자 환경에 / downloader를 복사 할 수 있다고 생각합니다.
필자는 일반적으로 다운로더 디렉토리를 삭제하지만 루트 htaccess에서 다음 지시문이 유용하다는 것을 알았습니다.
RewriteRule ^downloader/ - [L,R=404]다운로더 디렉토리가 존재하더라도 Apache가 404 응답을 보내 게합니다.
www.mysite.com/index.php/myadminurl/index/downloader