O clássico erro da pasta pub nas instalações Magento 2

Volta e meia costumo recorrer à sites de freelancers para dar vazão ao meu planejamento com os projetos de Magento 2.

No processo de seleção dos candidatos, frequentemente recebo links de trabalhos recentes e lojas que atuaram.

Nesse processo acabo por ver um erro comum em várias lojas Magento mundo afora e que já vi em algumas lojas Magento 2 em terras tupiniquins também.

A tal da pasta /pub

Tanto no curso de Magento 2 como no artigo onde mostro como instalar o Magento 2 usando composer, eu menciono a importância de manter a sua pasta /pub como sendo a pasta pública da sua loja virtual.

Mas qual o problema em expor a pasta pub desta forma?

O problema no exemplo acima não está em expor a pasta pub, mas sim em expor a pasta raiz da loja e outras subpastas que não deveriam ser visíveis no frontend.

Como a própria Magento recomenda:

Setting the webroot to the pub/ directory prevents site visitors from accessing the Web Setup Wizard and other sensitive areas of the Magento file system from a browser.Setar a pasta webroot para pub/ evita que os visitantes tenham acesso ao Wizard de Instalação e outras áreas do sistema de arquivos do Magento a partir de um navegador.

Porque isso acontece?

Na maioria dos softwares open source como Magento 1, WordPress e outros, a pasta raiz do sistema é a pasta que fica pública e visível ao público.

Desta forma, é muito comum que alguém que esteja começando com Magento 2 ou configurando uma loja faça isso nas primeiras vezes.

Além disso, como o Magento 2 conta com um Wizard (Assistente) de instalação amigável que não fica disponível quando o sistema é mapeado corretamente (/pub), muita gente acaba “preferindo” deixar assim mesmo. Afinal, está tudo “funcionando”, né?

Minha loja está certa?

Para ver se sua loja está ok, basta exibir o código fonte no próprio navegador e ver se os caminho de seus arquivos estáticos (CSS, JS, etc) estão apontando para pasta /pub.

Caso você veja o caminho /pub como mostrado na imagem acima, significa que sua loja foi mapeada incorretamente, podendo expor diretórios e arquivos sensíveis.

Como fazer a instalação da maneira certa?

Embora o Wizard do Magento seja o meio mais amigável de se instalar o Magento 2, eu recomendo fortemente que você utilize o composer para realizar a instalação.

Além disso, a pasta raiz da sua loja (webroot) deve ser a pasta pub e não a pasta raiz da instalação.

Lembre-se também de ativar o modo production quando estiver em produção.

Veja mais neste tutorial da Adobe Magento sobre como melhorar a segurança de sua loja (Em Inglês).

Veja também: Magento_Version no Magento 2: Segurança esquecida

• Sobre
• Últimos Posts

Ricardo Martins

É desenvolvedor web há 16 anos e um dos primeiros certificados pela Magento no Brasil. Instrutor de mais de 11 cursos Magento (os principais no magenteiro.com/cursos) com mais de 14 mil alunos de 105 países, é também criador do módulo PagSeguro Transparente, usado em mais de 12 mil lojas.

Últimos posts por Ricardo Martins (exibir todos)

• PagSeguro (PagBank) para Magento 1 recebe a Nova Geração - 9 de abril de 2024
• Recorrência no WooCommerce Sem Plugins Pagos - 28 de janeiro de 2024
• Chargeback. O que é, e como se livrar deles. - 19 de dezembro de 2023