คำถามติดแท็ก security

ฉันกำลังเตรียมที่จะปรับใช้ไซต์ Drupal 7 และฉันไม่สามารถหาเอกสารใด ๆ เกี่ยวกับสิ่งที่ควรคำนึงถึงความปลอดภัยของแฟ้มและการอนุญาตไดเรกทอรีที่แนะนำ โดยเฉพาะdefault/files/(ยังไดเรกทอรีย่อย?) settings.php, .htaccessและสิ่งอื่นที่ฉันควรจะตระหนักถึง

145 7  users  security  files 

ฉันเคยเห็นหลายครั้งที่คนบอกว่าไม่ใช้ตัวกรอง PHP / PHP แบบกำหนดเอง (จาก Drupal UI) ในบล็อกโหนดมุมมอง args กฎและอื่น ๆ ฉันค้นหารอบเล็กน้อยและไม่พบมากดูเหมือนว่า นี่เป็นแนวทางปฏิบัติที่ดีที่สุดของ Drupal ที่ทุกคน "รู้" ฉันเข้าใจว่ามันมีความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นโดยเฉพาะอย่างยิ่งในมือของผู้ใช้หรือผู้ที่เพิ่งเริ่มใช้ Drupal หรือ PHP แต่ในฐานะนักพัฒนา / ผู้สร้างเว็บไซต์อะไรคือเหตุผลที่แท้จริงที่จะไม่ใช้ PHP แบบกำหนดเองจาก Drupal UI

96 security 

มีการรั่วไหลของความปลอดภัยอย่างมากใน <7.32 ดังนั้นฉันจึงต้องการอัปเกรดไซต์ Drupal ทั้งหมดโดยเร็วโดยไม่ต้องกังวลเกี่ยวกับการทำลายข้อมูล แต่... $ drush dl drupal-7.32 It's forbidden to download drupal core into an existing core. อันนี้ใช้ได้ผล: $ drush up แต่นั่นไม่ใช่สิ่งที่ฉันต้องการในตอนนี้ ฉันจะอัพเกรดคอร์เป็นเวอร์ชันล่าสุดได้อย่างไร drush up drupal ไม่เพียงพอในตัวมันเอง: (ขออภัยเกี่ยวกับชาวดัตช์คุณจะได้รับส่วนสำคัญ) $ drush up drupal Controle of updategegevens beschikbaar zijn ... [ok] Update information last refreshed: di, 10/14/2014 - 20:57 …

52 drush  upgrading  security 

ฉันเพิ่งอัปเดตไซต์ทั้งหมดของฉันโดยใช้วิธีการแพทช์ในการหาประโยชน์จาก Drupal SA-CORE-2014-005 ฉันเพิ่งอ่านรายงานว่าเมื่อวานนี้มีคนจากเว็บไซต์ drupal ของ IP ของรัสเซีย https://www.drupal.org/SA-CORE-2014-005 ความกังวลหลักของฉันคือตอนนี้: ฉันจะรู้ได้อย่างไรว่าเว็บไซต์ของฉันประกอบด้วยหรือไม่ ฉันควรค้นหาสิ่งใดในบันทึกการเข้าถึง apache ของฉันเพื่อตรวจสอบว่าไซต์ของฉันเป็นเหยื่อหรือไม่ แฮ็กเกอร์เหล่านี้ทำอะไรกับเว็บไซต์ที่ประกอบไปด้วย

40 7  security 

อ่านบนhttps://www.drupal.org/node/2357241และรายละเอียดทางเทคนิคที่https://www.drupal.org/SA-CORE-2014-005รวมถึงแพทช์จริงซึ่งเป็นเพียง: diff --git a/includes/database/database.inc b/includes/database/database.inc index f78098b..01b6385 100644 --- a/includes/database/database.inc +++ b/includes/database/database.inc @@ -736,7 +736,7 @@ abstract class DatabaseConnection extends PDO { // to expand it out into a comma-delimited set of placeholders. foreach (array_filter($args, 'is_array') as $key => $data) { $new_keys = array(); - foreach ($data as $i => …

33 security 

อะไรคือความแตกต่างระหว่าง['value']และ['safe_value']?

31 7  entities  security 

คือcheck_plain ()เพียงพอสำหรับอีกการแสดงข้อความที่ป้อนโดยผู้ใช้ในเบราว์เซอร์หรือควรฉันยังคงกรองที่มีfilter_xss () ?

16 security 

ฉันได้อ่านเกี่ยวกับเรื่องนี้มามากมายและลองใช้วิธีการต่าง ๆ ที่ฉันพบและยังไม่สามารถทำงานได้อย่างถูกต้อง ฉันต้องการที่จะสามารถรักษาความปลอดภัยพื้นที่ผู้ดูแลระบบและหน้าเข้าสู่ระบบที่เกี่ยวข้อง ดังนั้นทุกอย่างใน example.com/admin/* หรือ example.com/user/* ฯลฯ จะต้องผ่าน SSL / TLS เราต้องการให้สิ่งนี้ใช้กับแต่ละไซต์ที่มีการตั้งค่าแบบหลายไซต์ ดังนั้น example1.com, example2.com, example3.com ล้วนอยู่ในเซิร์ฟเวอร์ / บัญชีผู้ใช้เดียวกัน การตั้งค่า Drupal 7 multi site เปิดใช้งานทำความสะอาด URL แล้ว PHP 5.3 MySQL v14 d5 apache2 หมายเหตุ Securepages ไม่ใช่ตัวเลือกเนื่องจากไม่มีการวางจำหน่าย Drupal 7 ที่มีความเสถียรและการใช้รุ่น dev ที่มีอยู่ต้องใช้การปรับปรุง Drupal Core ซึ่งขัดกับนโยบายของเรา ทดลองใช้งานเซสชัน 443 โดยไม่ประสบความสำเร็จ พยายามเข้าสู่ระบบที่ปลอดภัยโดยไม่ประสบความสำเร็จ …

15 users  security  ssl 

ฉันใช้วิธี Drupal 7 db_insertเพื่อแทรกข้อมูลลงในตารางที่กำหนดเองในฐานข้อมูล Drupal ฉันได้อ่านว่านี่เป็นวิธีที่ต้องการ แต่ฉันได้อ่านรหัสและ doco แล้วและฉันไม่สามารถเห็นได้ว่ามีการแยกวิเคราะห์ค่าใดหรือบอกฉันว่าค่าเหล่านี้ปลอดภัย ค่าบางอย่างมาจากผู้ใช้ดังนั้นฉันต้องตรวจสอบการโจมตี SQL Injection นี่คือตัวอย่างที่ฉันกำลังอ่านซึ่ง Drupal 6 วิเคราะห์ค่าและรุ่น drupal 7 ไม่ได้ <?php // Drupal 6 version db_query('INSERT INTO {vchess_games} (gid, timestamps, white, black, state, board_white, board_black) ' . "VALUES ('%s', '%s', '%s', '%s', '%s', '%s', '%s')", $gid, $timestamps, $game['white'], $game['black'], $state, $board_white, …

15 database  security 

ในช่วงเวลาสุดท้ายนี้ฉันสังเกตเห็นใน dblog ของฉันว่ามีคนพยายามแอบเข้าไป บุคคลนั้นพยายามค้นหา URL การเข้าสู่ระบบ (เว็บไซต์ของฉันไม่ได้เปิดให้ลงทะเบียนผู้ใช้) ดังนั้นพวกเขาจึงลองทุกอย่างจาก my-domain.com/admin, my-domain.com/administrator .. และ my-domain.com/wp- เข้าสู่ระบบ (ซึ่งบ่งชี้ว่าคนที่ไม่คุ้นเคยกับ drupal .. ) เมื่อบุคคลจบลงด้วย / ผู้ใช้เขาหรือเธอพยายามเข้าสู่ระบบในฐานะผู้ดูแลระบบโดยพยายามใช้ชื่อผู้ใช้ที่แตกต่างกัน: ผู้ดูแลระบบผู้ดูแลระบบ ฯลฯ ... (ฉันไม่เคยใช้ 'admin' เป็นชื่อผู้ใช้สำหรับผู้ใช้รูท) มีวิธีการป้องกัน / ป้องกันเว็บไซต์ drupal จากสิ่งต่าง ๆ นี้หรือไม่? ขอบคุณ ps: ฉันสนใจวิธีการนี้ทั้งสำหรับ d6 และ d7

14 security  users 

หลังจากติดตั้ง Drupal มีไฟล์ในไดเรกทอรีรากที่ฉันควรลบ ฉันรู้ว่า install.php เป็นหนึ่งในนั้น ไฟล์อื่นใดที่ฉันควรลบ

14 7  security  installing 

มีไฟล์เทมเพลตมากมายเช่นนี้views-view-fields--magazine--magazine.tpl.phpในเว็บไซต์ของฉัน ฉันควรใช้ filter_xss () และ check_plain () อย่างไรเพื่อปรับปรุงความปลอดภัย เช่นนี้เป็นรหัส: <div> <div class="bf-header bf-article-header"><?php print $fields['title']->content; ?></div> <div class="bf-article-body"><?php print $fields['field_magazine_body']->content;?></div> <div class="bf-article-image"><?php print $fields['field_magazine_image']->content;?></div> </div> <div class="separator article-view-separator"></div> ฉันจะใช้ฟังก์ชันเหล่านั้นได้อย่างไร

11 security 

เมื่อดูที่บันทึกของเว็บไซต์ฉันพบว่าคนที่มีที่อยู่ IP: 91.236.74.135 กำลังส่งคำขอไปยังหน้าเว็บอย่างเป็นระบบ: / user? destination = node / เพิ่มเว็บไซต์ Drupal ของฉัน เขาทำทุก ๆ ชั่วโมง เป็นบอทแน่นอน ฉันคิดว่าเขากำลังพยายามดุร้ายกับรหัสผ่าน สำหรับตอนนี้ฉันห้ามเขาใน. htaccess ด้วย deny from 91.236.74.135 ใครสามารถให้คำแนะนำวิธีการป้องกันเว็บไซต์จากการโจมตีกำลังดุร้ายบนเข้าสู่ระบบ?

10 security 

เพิ่งเปิดตัวช่องโหว่: https://www.drupal.org/sa-core-2018-002 --- แกน Drupal - สำคัญมาก - การเรียกใช้รหัสระยะไกล - SA-CORE-2018-002 ฉันจะบอกได้อย่างไรว่ามีคนใช้การฉวยประโยชน์นี้เพื่อแฮ็คไซต์ของฉัน พวกเขาจะทำอะไรกับการหาประโยชน์จากการกระทำนี้หากดำเนินการอย่างเหมาะสม? ฉันไม่สามารถอัปเดตไซต์ Drupal ของฉันได้ในตอนนี้อะไรเป็นทางเลือกที่ดีในการแก้ไขรูนี้

9 security  version-control 

การโจมตีแบบ brute-force เป็นการพยายามเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาตโดยการสร้างและป้อนรหัสผ่านที่หลากหลายอย่างต่อเนื่อง งานนี้มักจะทำโดยซอฟต์แวร์อัตโนมัติ ("บอต") ซึ่งค้นหาข้อความสำเร็จหรือล้มเหลวและลองใช้รหัสผ่านใหม่จนกว่าจะได้รับข้อความสำเร็จ ค่าเริ่มต้นของ Drupal 7 ปลอดภัยหรือไม่ การกำหนดค่าความปลอดภัยที่มากกว่านั้นคืออะไร? โมดูลใดสามารถช่วยฉันในการลงชื่อเข้าใช้ที่ปลอดภัยยิ่งขึ้น

9 security