我已经安装了SUPEE 6788,默认情况下,管理路由兼容性是"已启用",所有扩展程序都可正常运行。但是,当我"禁用"它,扩展不再起作用,我必须修改它们。
问题:考虑到我已经安装了补丁,是否可以将路由兼容性保留为"已启用"考虑到你有一个强大的密码?
答案 0 :(得分:2)
启用路由兼容性后,Magento允许第三方模块使用其弃用的创建管理后端路由的方法。
这就是管理路由兼容性的含义,它有点像Internet Explorer中的兼容模式。页面中断是因为它与某些显示问题相冲突,因此使Internet Explorer像旧版本一样显示它。 Magento在兼容模式下也是如此,就像旧的,不安全的未修补版本一样,并允许模块工作。
这导致了解决方案,关闭管理路由兼容模式时未能显示的所有模块都使用旧的不安全路由,需要升级。请联系您的模块开发人员并获取更新,或使用其他地方的SUPEE-6788 Tool查找您创建的模块的建议修补程序并进行测试。
Magento和强密码仍然不安全,因为它没有任何方法可以阻止重复的登录重试攻击。锁定对IP白名单的访问并获得一个管理保护模块,该模块允许最大数量的登录重试,然后锁定访问权限以超过该值。
以下问题的描述意味着您需要修复模块并尽快禁用兼容模式。
无论管理员是谁,攻击者都可以强制显示管理面板登录页面 面板URL 直接调用模块。它使尝试更容易 自动密码攻击并在页面上公开管理URL。