Magentoは、/ downloaderを使用してMagento Connect Managerを介してプログラムを便利にインストールするため、ボットまたはユーザーがインストールの資格情報を学ぼうとする可能性があるため、これもセキュリティ上の懸念事項であることは明らかです。
私のウェブサイトへのアクセスログを確認しましたが、www.mysite.com / downloaderへの試行回数に驚いた
回避策として、downloaderディレクトリの名前をdownloader.offlineに変更する習慣になりましたが、時々忘れます。(プログラムをインストールするために名前を変更するか、完了したら)。
このリンクを保護するための推奨される方法は何ですか?
回答:
.htaccessを(またはnginx / configが何であれ)downloaderディレクトリーに入れて、ディレクトリーDisallow from allに対する要求を禁止します。
(自分のIPアドレスなど)でいくつかのIPアドレスを許可したい場合は、 .htaccess
order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8許可するIPアドレスはどこに1.2.3.4あり5.6.7.8ますか。
私の好きな方法:削除するだけ downloader
@ daniel-sloofの推奨に沿って、Magento Connectインストーラーを完全に廃止することをお勧めします。通常.gitignore、新しいリポジトリを設定するときに追加します。
その理由は、Fabianが回答コメントで指摘しているように、Connectからパッケージをコミットせずにソース管理で実稼働環境の複製を保証する方法がないことです。ここで失われる機能は、Connectからパッケージを更新/アップグレードする機能です。ただし、その機能が本当に必要な場合は、開発ボックスでいつでもローカルで実行でき、動作に満足したら結果をコミットできます。
tl; dr:
/downloaderフォルダを削除するか、ソース管理から削除します。
./mage installCLIコマンドは、Magento Connectの単なるラッパーであると想定しています。編集:実際に私はちょうど使用できますmagerun extension:install:)
downloader/mage.php。何かをインストールする必要がある場合は、ローカルの
通常、ダウンローダーディレクトリを削除しますが、ルートhtaccessにある次のディレクティブも役に立ちました。
RewriteRule ^downloader/ - [L,R=404]ダウンローダーディレクトリが存在する場合でも、Apacheは404応答を送信します。
www.mysite.com/index.php/myadminurl/index/downloader