在將Drupal站點部署到生產服務器時是否需要採取特殊的安全措施?強化實時部署的drupal
例如:我可以想象我們需要從根目錄中刪除install.php。有沒有更多的行動?
還是有可能獲得一個模塊,檢查該網站的「全球準備」
在將Drupal站點部署到生產服務器時是否需要採取特殊的安全措施?強化實時部署的drupal
例如:我可以想象我們需要從根目錄中刪除install.php。有沒有更多的行動?
還是有可能獲得一個模塊,檢查該網站的「全球準備」
你也應該刪除註冊表主題重建設置。
它重建每個頁面加載你的主題註冊表,所以它使你的網站非常緩慢。
除了其他建議,還請刪除update.php。
我也想(重新)移動/從Webroot公司
這是一個次要的事情,但你可以刪除其中泄露的版本號分佈的根目錄下的文本文件的腳本。如CHANGELOG.txt等
我不記得如何安全地cron.php保護自身免受洪水通話。您可能需要考慮是否值得將其限制爲僅限本地或僅限命令行訪問。
確保.inc文件由PHP處理。
我們從來沒有發現有必要刪除update.php - 它只能被管理員用戶0使用,並且如果黑客有權訪問那個,那麼你有麻煩了。 安裝drupal時,您不需要移動或移除任何文件,而這樣做的問題在於,當您將Drupal升級到下一個安全版本時,最終可能會在兩處放置文件,造成混淆和會導致的錯誤。 – 2009-08-25 01:48:50
問題是關於安全性,而不是安裝的簡易性。分層的安全方法始終是一個好主意。你取得多遠取決於你。您肯定地說在每次升級時都需要重新檢查文件集。但是沒有什麼好的理由讓你不需要在webroot中掛起的可執行文件。如果在任何(也許是不同的)應用程序中引入未知的漏洞,那麼這就是限制攻擊面。 – Cheekysoft 2009-08-25 09:11:59
+1用於處理版本泄漏和分層安全性等小問題。 – Omniwombat 2009-08-25 20:28:53
上狀態報告會告訴你,如果有什麼是不完全正確。
下的性能管理頁面,您可以打開不同的緩存設置,但與他們測試你的網站在部署之前開啓。
有用於固定Drupal的一個book by greggles,這可能是值得一試。
是的,這個。確保管理員密碼是一些gobblygook,而不是人們會記住的東西,並建議客戶不使用它,除非絕對必要。還要確保你的數據庫設置是這樣的,它只接受本地主機連接,並且對於該連接也具有類似的隨機密碼。 – 2009-08-25 01:50:12
這一切的答案,讓您停止安裝完成後思考 - 但軟件具有歷史和Drupal的安裝後,你多了一個寶寶看 - 在drupal's情況下非常密切關注!這意味着您必須訂閱drupal安全郵件列表並閱讀所有即將發佈的郵件 - 準備好收到許多郵件。很好,drupal團隊可以快速提供這些信息,但很遺憾,這些郵件實際上太多了,可能與drupals編程風格有關。準備起牀不止一次在半夜來更新你的Drupal安裝,因爲一些擴展開發人員始終沒明白,爲什麼從網上輸入必須進行消毒(是的,這幾樣的安全問題仍然在Drupal的世界上發生。) 因此「硬化」的意思是「保持與更新」,在drupals情況下,這些都相當頻繁。如果你有很多網站並想要部署到多個服務器,請考慮一下 - 自動部署會幫助你節省大量時間。
理想情況下,您在部署之前已經測試了代碼中的不安全因素,但配置通常可能會丟失。有分析您的Drupal站點的配置錯誤,從而會導致漏洞的模式http://drupal.org/project/security_review
安全審查提出了以下檢查:系統文件
下面是Drupal 7的一個很好的破敗:http://www.madirish.net/242。
它的大部分建議都與Drupal 6相關。
該設置默認爲關閉。 – ceejayoz 2009-08-20 14:56:19
與硬化無關。 – 2013-04-22 17:30:09