我目前管理的一个站点上有 Drupal 7.17。我注意到网站根目录中有以下文件:
install.php
CHANGELOG.txt
INSTALL.txt
INSTALL.mysql.txt
INSTALL.pgsql.txt
LICENSE.txt
MAINTAINERS.txt
UPGRADE.txt
研究这个,告诉我,从 Drupal 7.16 开始,他们修复了一个安全问题,该问题允许任意代码在 install.php 中运行,这将允许重新安装 Drupal 以供他人运行。但基本上,我想知道这些文件中的任何一个(如果留在服务器根目录中)是否会导致 Drupal 7.17 出现问题?出于安全原因,我是否必须删除这些文件?或者这在 Drupal 7.17 中不再是安全风险了吗?
我知道我们不应该删除该upgrade.php文件,而只是对这些文件的其余部分感到好奇。
谢谢,这可能是一个愚蠢的问题,但还是觉得有必要问一下。通常我在网站上安装软件时会删除这些文件,但不确定 Drupal 如何使用和/或滥用这些文件。
根据 Drupal 手册中的文档“<a href="https://drupal.org/upgrade/finished" rel="nofollow">完成升级”(适用于升级和安装):
The last step in an upgrade is to delete or move the following files from your site:
install.php
CHANGELOG.txt
INSTALL.txt
INSTALL.mysql.txt
INSTALL.pgsql.txt
INSTALL.sqlite.txt
LICENSE.txt
MAINTAINERS.txt
UPGRADE.txt
明确一点:唯一要删除的 PHP 文件是“install.php”(即,一定要保留“upgrade.php”和所有其他 PHP 文件)。当您删除 TXT 文件时,请务必保留“robots.txt”,因为它被搜索引擎使用。
你不应该删除任何文件。如果你真的想,你可以删除各种 txt 文件。如果您担心安全性,一个更好的解决方案是不要让文件通过 Web 服务器访问。Drupal 仅使用 index.php 文件来提供内容。
我很想听听关于这个问题的更新和最近的想法,这就是为什么......
我刚刚使用一个新更新的 Drupal 站点到Drupal 8.9.20,以没有管理员权限的登录用户身份运行 Open Social 发行版。这是我的活跃生产网站!
我删除了一个节点(新闻文章)我试图从一个拒绝连接他们的一些元数据的网站嵌入,即:图像#1,在删除链接上提交后,浏览器切换到 install.php,就像你知道文档根目录中的站点。
看到这一点我当然很震惊,在考虑到用户可能会得到的甚至是无辜的回应导致他们重新安装他们的应用程序之后,这当然可能非常危险。
因此,自从上次对此的回复引用了 2014 年的 Drupal 版本以来,我只是想知道您在当今时代对最新建议的看法!
谢谢