ダウンローダーを保護するための推奨方法?
-
22-10-2019 - |
質問
Magentoはを使用しているので /ダウンローダー 経由でプログラムを便利にインストールする方法として Magento Connect Manager これは、ボットや人々がインストールの資格情報を学ぼうとする可能性を可能にするため、セキュリティの懸念でもあることは明らかです。
アクセスログを私のウェブサイトにチェックして、私は www.mysite.com/downloader
回避策の名前を変更する習慣に陥りました。 Downloader.Offline しかし、時々私は忘れます。 (プログラムをインストールするために名前を変更するか、完了した後に)。
このリンクを保護するための推奨方法は何ですか?
解決
.htaccess(またはnginx/honthing a config)を downloader
でディレクトリ Disallow from all
その中で、ディレクトリのリクエストを禁止します。
(あなた自身のように)いくつかのIPアドレスを許可したい場合は、あなたの中でこのようなことを試してみてください .htaccess
order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8
どこ 1.2.3.4
と 5.6.7.8
あなたが通過したいIPアドレスです。
私の好みの方法:削除するだけです downloader
他のヒント
@Daniel-Sloofの推奨に加えて、Magento Connectインストーラーを完全に捨てると言います。私は一般的にそれを追加します .gitignore
新しいリポジトリを設定するとき。
その理由は、ファビアンが回答のコメントで指摘しているように、コネクトからパッケージをコミットせずにソースコントロールで生産環境の複製を確保する方法がないことです。ここで失われる機能は、Connectからパッケージを更新/アップグレードする機能ですが、実際にその機能が必要な場合は、開発者ボックスで常にローカルに実行し、機能していることに満足しているときに結果をコミットできます。
tl; dr:
削除します /downloader
フォルダーまたはソースコントロールから削除します。
私は通常、ダウンローダーディレクトリを削除しますが、ルートhtaccessの次のディレクティブが役立つこともわかりました。
RewriteRule ^downloader/ - [L,R=404]
これにより、Apacheは、ダウンローダーディレクトリが存在する場合でも404応答を送信します。
ダウンローダーフォルダーの名前を変更するのはどうですか?必要に応じて、「ダウンローダー」に簡単に名前が変更され、必要に応じて更新およびインストールを行い、再度変更できます。それは私のために働いているようです。