Magento通过/ rss / sales / orders为客户订单提供了一个内置的前端RSS订阅源,这是通过页面验证来阻止的,这似乎对暴力攻击有效吗?
此外,如果我使用相同的功能通过前端访问来获取其他系统数据(客户列表等)
这个好的做法是为此输出设置前端单一登录访问权限吗?
答案 0 :(得分:5)
我建议可能阻止访问RSS。它最近遭到了许多Magento商店的猛烈攻击。
它对Brute Force攻击是开放的,并且已知失败&允许访问。
location ~* /rss/order/new {
return 403;
}
location ~* /rss/catalog/notifystock {
return 403;
}
location ~* /rss/catalog/review {
return 403;
}
的.htaccess
RewriteCond %{REQUEST_URI} ^.*/RSS/CATALOG [OR,NC]
RewriteCond %{REQUEST_URI} ^.*/RSS/ORDER [NC]
RewriteRule ^(.*)$ http://%{HTTP_HOST}/ [R=302,L]
感谢一位同事接受了这个。