Pytania otagowane jako security

Przygotowuję się do wdrożenia witryny Drupal 7 i nie mogę znaleźć żadnej dokumentacji na temat tego, jakie powinny być zalecane zalecane dla plików i katalogów uprawnienia dotyczące bezpieczeństwa. Konkretnie default/files/(także podkatalogi?) settings.php, .htaccessI coś jeszcze I powinien być świadomy.

145 7  users  security  files 

Wiele razy widziałem ludzi mówiących, aby nie używać niestandardowego filtru PHP / PHP (z interfejsu użytkownika Drupala) w blokach, węzłach, widokach-argumentach, regułach itp. Szukałem trochę i nie znalazłem wiele, wygląda na to, że jest to najlepsza praktyka Drupala, którą wszyscy „po prostu wiedzą”. Rozumiem, że stanowi to potencjalne zagrożenie bezpieczeństwa, …

96 security 

Ogromny wyciek bezpieczeństwa w <7,32. Chcę więc jak najszybciej zaktualizować wszystkie moje strony Drupala, nie martwiąc się zbytnio o zepsucia. Ale... $ drush dl drupal-7.32 It's forbidden to download drupal core into an existing core. Ten działa: $ drush up Ale nie tego chcę teraz. Jak mogę uaktualnić tylko rdzeń …

52 drush  upgrading  security 

Właśnie zaktualizowałem wszystkie moje witryny przy użyciu metody łatki do rozwiązania problemu związanego z Drupal SA-CORE-2014-005. Właśnie czytałem raporty, że wczoraj jest ktoś z rosyjskiej witryny IP infiltrującej witryny Drupal. https://www.drupal.org/SA-CORE-2014-005 Moje główne obawy to teraz: Jak sprawdzić, czy moje strony zostały uwzględnione? Czego powinienem szukać w dziennikach dostępu apache, …

40 7  security 

Czytanie na https://www.drupal.org/node/2357241 i szczegóły techniczne na https://www.drupal.org/SA-CORE-2014-005 , a także aktualną łatkę, która jest po prostu: diff --git a/includes/database/database.inc b/includes/database/database.inc index f78098b..01b6385 100644 --- a/includes/database/database.inc +++ b/includes/database/database.inc @@ -736,7 +736,7 @@ abstract class DatabaseConnection extends PDO { // to expand it out into a comma-delimited set of placeholders. foreach …

33 security 

Jakie są różnice między ['value']i ['safe_value']?

31 7  entities  security 

Czy check_plain () wystarcza do ponownego wyświetlenia tekstu wprowadzonego przez użytkowników w przeglądarce, czy powinienem nadal filtrować za pomocą filter_xss () ?

16 security 

Dużo o tym czytałem i wypróbowałem wiele metod, które znalazłem i jeszcze nie byłem w stanie zapewnić prawidłowego działania. Chcę mieć możliwość zabezpieczenia obszaru administratora i powiązanych stron logowania. Tak więc wszystko w example.com/admin/* lub example.com/user/* itd., Musi przejść przez SSL / TLS. Chcemy, aby dotyczyło to każdej witryny z …

15 users  security  ssl 

Korzystam z metody Drupal 7 db_insert , aby wstawić dane do niestandardowej tabeli w bazie danych Drupal. Przeczytałem, że jest to preferowany sposób, jednak przeszedłem przez kod i doco i nie widzę nigdzie, kto analizuje wartości lub mówi mi, że te wartości są bezpieczne. Niektóre wartości pochodzą od użytkownika, więc …

15 database  security 

W ciągu ostatnich dni zauważyłem na moim blogu, że ktoś próbował się przekraść. Osoba próbowała znaleźć adres URL logowania (moja witryna nie jest otwarta do rejestracji użytkownika), więc próbowała wszystkiego od mojej-domena.com/admin, moja-domena.com/administrator .. a także moja-domena.com/wp- login (co oznacza, że ​​dana osoba nie zna drupala ..) Gdy dana osoba …

14 security  users 

Po zainstalowaniu Drupala w katalogu głównym znajdują się pliki, które powinienem usunąć. Wiem, że install.php jest jednym z nich. Jakie inne pliki powinienem usunąć?

14 7  security  installing 

Na views-view-fields--magazine--magazine.tpl.phpmojej stronie internetowej jest wiele takich plików szablonów . jak i kiedy powinienem użyć filter_xss () i check_plain (), aby poprawić bezpieczeństwo? na przykład jest to kod: <div> <div class="bf-header bf-article-header"><?php print $fields['title']->content; ?></div> <div class="bf-article-body"><?php print $fields['field_magazine_body']->content;?></div> <div class="bf-article-image"><?php print $fields['field_magazine_image']->content;?></div> </div> <div class="separator article-view-separator"></div> Jak mogę zastosować …

11 security 

Przeglądając dziennik witryny, zauważyłem, że ktoś o adresie IP: 91.236.74.135 metodycznie wysyła żądania na stronę: / user? Destination = node / add of my Drupal. Robi to raz na godzinę. To zdecydowanie bot. Myślę, że próbuje brutalnie wymusić hasło. Na razie zbanowałem go w .htaccess z deny from 91.236.74.135 Czy …

10 security 

Właśnie wydany exploit: https://www.drupal.org/sa-core-2018-002 --- Rdzeń Drupala - Wysoce krytyczny - Zdalne wykonanie kodu - SA-CORE-2018-002 Skąd mam wiedzieć, czy ktoś wykorzystał ten exploit do włamania się na moją stronę? Co mogą zrobić z tym exploitem, jeśli zostaną poprawnie wykonane? Nie mogę teraz zaktualizować moich stron Drupal. Jaka jest dobra …

9 security  version-control 

Brutalny atak to próba uzyskania nieautoryzowanego dostępu do strony internetowej poprzez ciągłe generowanie i wprowadzanie różnych kombinacji hasła. To zadanie jest zwykle wykonywane przez oprogramowanie do automatyzacji („bot”), które wyszukuje komunikaty o sukcesie lub niepowodzeniu i wypróbowuje nowe hasła, dopóki nie otrzyma komunikatu o sukcesie. Czy Drupal 7 jest domyślnie …

9 security