強化實時部署的drupal

Question

在將Drupal站點部署到生產服務器時是否需要採取特殊的安全措施？

例如：我可以想象我們需要從根目錄中刪除install.php。有沒有更多的行動？

還是有可能獲得一個模塊，檢查該網站的「全球準備」

Answer 1

你也應該刪除註冊表主題重建設置。

它重建每個頁面加載你的主題註冊表，所以它使你的網站非常緩慢。

Answer 2

除了其他建議，還請刪除update.php。

我也想（重新）移動/從Webroot公司

這是一個次要的事情，但你可以刪除其中泄露的版本號分佈的根目錄下的文本文件的腳本。如CHANGELOG.txt等

我不記得如何安全地cron.php保護自身免受洪水通話。您可能需要考慮是否值得將其限制爲僅限本地或僅限命令行訪問。

確保.inc文件由PHP處理。

Answer 3

上​​狀態報告會告訴你，如果有什麼是不完全正確。

下的性能管理頁面，您可以打開不同的緩存設置，但與他們測試你的網站在部署之前開啓。

有用於固定Drupal的一個book by greggles，這可能是值得一試。

Answer 4

這一切的答案，讓您停止安裝完成後思考 - 但軟件具有歷史和Drupal的安裝後，你多了一個寶寶看 - 在drupal's情況下非常密切關注！這意味着您必須訂閱drupal安全郵件列表並閱讀所有即將發佈的郵件 - 準備好收到許多郵件。很好，drupal團隊可以快速提供這些信息，但很遺憾，這些郵件實際上太多了，可能與drupals編程風格有關。準備起牀不止一次在半夜來更新你的Drupal安裝，因爲一些擴展開發人員始終沒明白，爲什麼從網上輸入必須進行消毒（是的，這幾樣的安全問題仍然在Drupal的世界上發生。） 因此「硬化」的意思是「保持與更新」，在drupals情況下，這些都相當頻繁。如果你有很多網站並想要部署到多個服務器，請考慮一下 - 自動部署會幫助你節省大量時間。

Answer 5

理想情況下，您在部署之前已經測試了代碼中的不安全因素，但配置通常可能會丟失。有分析您的Drupal站點的配置錯誤，從而會導致漏洞的模式http://drupal.org/project/security_review

安全審查提出了以下檢查：系統文件

• 安全權限
• PHP的意見或節點
• 無論錯誤報告是
• 不安全輸入格式
• 如果私人文件已打開且文件目錄位於webroot之外
個
• 允許上傳的擴展
• 管理權限授予不受信任的用戶

Answer 6

下面是Drupal 7的一個很好的破敗：http://www.madirish.net/242。

它的大部分建議都與Drupal 6相關。