Так как Magento использует / downloader как способ удобной установки программ через Magento Connect Manager, очевидно, что это также проблема безопасности, так как это дает возможность ботам или людям пытаться узнать учетные данные для установки.
Проверяя журналы доступа к моему сайту, я был встревожен количеством попыток на www.mysite.com/downloader
В качестве обходного пути у меня появилась привычка переименовывать каталог загрузчика в downloader.offline, но иногда я забываю. (Либо переименовать его обратно для установки программы, либо после того, как я закончу).
Какой метод рекомендуется для защиты этой ссылки?
источник
Наряду с рекомендацией @ daniel-sloof, я бы сказал, чтобы полностью отказаться от установщика Magento Connect. Я обычно добавляю его
.gitignore
при создании нового репозитория.Причина в том, что, как отмечает Фабиан в своих ответных комментариях, нет способа обеспечить репликацию вашей производственной среды в системе контроля версий без фиксации пакетов из Connect. Функция, которую вы потеряете здесь, - это возможность обновлять / обновлять пакеты из Connect, но если вам действительно нужна эта функциональность, вы всегда можете сделать это локально в своем устройстве разработчика и зафиксировать результаты, когда вы будете уверены, что они работают.
ТЛ; др:
Удалите
/downloader
папку или удалите ее из системы контроля версий.источник
./mage install
команда CLI - просто оболочка для Magento Connect. редактировать: на самом деле я могу просто использоватьmagerun extension:install
:)downloader/mage.php
. Я думаю, вы можете просто скопировать / загрузить в вашу локальную среду разработки, если вам нужно что-то установитьЯ обычно удаляю каталог загрузчика, но также нашел полезной следующую директиву в корневом htaccess:
Что заставит Apache отправлять ответ 404, даже если каталог загрузчика присутствует.
источник
www.mysite.com/index.php/myadminurl/index/downloader
как насчет переименования папки загрузчика? В случае необходимости можно легко переименовать обратно в «загрузчик», выполнить обновление и установить при необходимости, а затем изменить его снова. Кажется, это работает для меня.
источник