我有一个安装 Drupal 的 hostgator 网站。直到上周末它都工作得很好。我主要是 .net 开发人员,不确定这个开源应用程序的配置。
最近,我注意到创建了大量以前从未登录过的用户帐户。所以,在设置了谷歌分析之后,我确定我的网站被黑了。我做出这个决定是因为大部分流量和用户流量来自俄罗斯、塞尔维亚和罗马尼亚,黑客的天堂!
我意识到我的网站不安全。所以现在我将站点置于维护模式,卸载现有的 Drupal 7,并安装一个新的安装。现在很新鲜,我的任务是找到一些好的安全实践。
我想知道除这些之外我还可以实施哪些安全措施。
另外,我将如何连接到我网站的命令行来更改文件权限设置?目前,我正在使用 Filezilla 并右键单击以更改属性。
谢谢,并为冗长的问题道歉。
PS 这是我的网站。
Hostgator 提供SSH 访问。使用WinSCP等工具传输文件,使用PuTTy访问命令行。获得命令行访问权限后,您将有望在 Hostgator 上安装 Drush。Drush将帮助您使用命令行进行许多管理工作,强烈推荐使用。由于您是 .Net 开发人员,我假设您可能正在使用 Windows 进行开发。好消息是您也可以在 Windows 上安装 Drush。
你确定你的网站真的被黑了吗?因为,如果您进入帐户设置页面 (http://your-site/admin/config/people/accounts) 并查看谁可以注册帐户?,您将在那里看到三个选项。默认为“访客可以创建帐户”。如果您不将此设置更改为其他设置,您的新站点将再次面临同样的问题。否则,您可以选择选项在访问者创建帐户时要求电子邮件验证。
减少在 Drupal 站点上创建帐户的垃圾邮件发送者数量的另一种方法是安装CAPTCHA或reCAPTCHA模块并将其配置为在用户创建帐户时向他们显示挑战。这将阻止许多垃圾邮件发送者。您还可以使用 Apache .htaccess 文件阻止特定的 IP范围。您将在 Drupal 安装文件夹中找到 .htaccess 文件。
另一个好的做法是定期更新 Drupal 核心和为安全修复提供的模块。如果您转到页面admin/reports/updates,您将看到哪个模块需要更新。命令行和 Drush 将帮助您简化此过程的某些部分。
如果您定期更新 Drupal(核心和模块),使用 SSH 进行文件传输并应用正确的文件权限,那么您的站点应该是安全的。鉴于 Drupal 安全团队和 Drupal 社区可以获得所有帮助,维护一个安全的 Drupal 站点并不难。
有一个 Drupal 组(论坛)处理Drupal 安全的最佳实践,它提供了许多关于如何保护 Drupal 站点的极好的建议。至于通过命令行访问您的站点,我检查了 Hostgator 并允许对其所有托管计划进行 SSH 访问。您应该能够通过 SSH 登录,切换到 Drupal 安装中的子目录,并使用“chmod”命令更改文件或目录的权限。
祝你好运!