На какую директорию поставить пароль, что бы дополнительно защитить админ панель Magento?

[16 июля 2019 г.]    Российская сборка Magento 2.52.2
Magento 2: модули и услуги
magereport.com: составление перечня необходимых для установки заплаток SUPEE
#1 Иван Щербаченко
  • Группа: Клиент
  • Сообщений: 42
  • Регистрация: 20.10.2012

29.10.2012 19:21

На какую директорию поставить пароль, что бы дополнительно защитить админ панель Magento?

Прикрепленные изображения

  • Прикрепленное изображение: Безымянный.png


#2 Дмитрий Федюк
  • Администратор
  • Иконка
  • Группа: Администратор
  • Сообщений: 8995
  • Регистрация: 20.02.2010

29.10.2012 20:36

Защитить от чего конкретно?

#3 Иван Щербаченко
  • Группа: Клиент
  • Сообщений: 42
  • Регистрация: 20.10.2012

29.10.2012 21:07

От конкурентов, взлома

#4 Дмитрий Федюк
  • Администратор
  • Иконка
  • Группа: Администратор
  • Сообщений: 8995
  • Регистрация: 20.02.2010

30.10.2012 14:29

От каких видов взлома защищает «пароль на директорию» в сравнении со стандартной процедурой идентификации администратора в Magento?

#5 Дмитрий Самсонов
  • Группа: Пользователь
  • Сообщений: 2
  • Регистрация: 16.11.2012

16.11.2012 18:04

Это защищает от всех видов взлома через уязвимости PHP.
Поскольку "пароль на директорию" решается средствами веб-сервера (до PHP-интерпретатора), то, не взломав этот пароль (брутфорсом?), нет возможности получить доступ к уязвимостям PHP. Другой вопрос заключается в архитектуре самой Magento: отличается ли чем-то PHP-код для админки от остального PHP-кода или там всё лежит в куче и смысл огораживать админку отдельно от остального общедоступного кода может отсутствовать в таком случае.

Другой аспект -- это брутфорс, нагрузка на скрипты и временный автобан по неправильным паролям.
Злоумышленник должен будет сначала взломать "пароль на каталог", которым управляет веб-сервер, прежде чем получить возможность насиловать php-скрипты админки своим брутфорсом. То есть "пароль на каталог" нужен, чтобы не создавать лишнюю нагрузку попытками подбора пароля и не провоцировать временный автобан, который может существовать и быть настроен на несколько неправильных вводов пароля за некоторое время.

Поделиться темой: