5

将 Drupal 站点部署到生产服务器时,是否需要采取任何特殊的安全措施?

例如:我可以想象我们需要从根目录中删除 install.php。有没有更多的动作?

或者是否有可用的模块来检查网站的“世界准备情况”

4

6 回答 6

5

http://your-site/admin/reports/status上的状态报告会告诉您是否有任何不妥之处。

在性能管理页面下,您可以打开各种缓存设置,但在部署之前打开它们来测试您的站点。

greggles有一本书用于保护 drupal,可能值得一看。

于 2009-08-20T15:42:31.137 回答
2

理想情况下,您在部署之前已经测试了代码的不安全性,但经常会错过配置。有一种模式可以分析您的 Drupal 站点是否存在可能导致漏洞的错误配置http://drupal.org/project/security_review

安全审查进行以下检查:

  • 系统文件的安全权限
  • 注释或节点中的 PHP
  • 错误报告是否开启
  • 不安全的输入格式
  • 如果私有文件打开并且文件目录在 webroot 之外
  • 允许的上传扩展
  • 授予不受信任用户的管理员权限
于 2011-04-22T04:22:03.727 回答
1

所有这些答案让您在安装完成后停止思考 - 但软件有历史,安装 drupal 后,您还有一个孩子要观看 - 在 drupal 的情况下,请密切关注!这意味着您必须订阅 drupal 安全邮件列表并阅读所有来自那里的邮件 - 准备好收到许多电子邮件。很好,drupal 团队正在快速提供这些信息,但遗憾的是这些邮件真的太多了,这可能与 drupal 编程风格有关。准备在半夜不止一次起床更新你的drupal安装,因为一些扩展开发人员从来不明白,为什么必须对来自网络的输入进行清理(是的,这类安全问题仍在drupal世界中发生.) 所以“硬化”的意思是“

于 2010-06-28T23:53:32.607 回答
1

除了其他建议之外,还要删除 update.php。

我还会(重新)从 webroot 中移动 /scripts

这是一件小事,但您可以删除分发根目录中泄露版本号的文本文件。如 CHANGELOG.txt 等。

我不记得 cron.php 如何安全地保护自己免受洪水调用。您可能想研究是否值得将其限制为仅限本地访问或仅限命令行访问。

确保 .inc 文件由 PHP 处理。

于 2009-08-20T15:39:58.803 回答
1

这是 Drupal 7 的一个很好的概要:http: //www.madirish.net/242

它的大部分建议也与 Drupal 6 相关。

于 2013-01-29T23:22:22.477 回答
0

您还应该删除主题注册表重建设置。

它会在每次页面加载时重建您的主题注册表,因此它会使您的网站非常慢。

于 2009-08-20T14:11:53.830 回答