Вопросы с тегом «security»

Используйте его для вопросов, связанных с безопасностью сайта, в частности тех, которые касаются защиты сайта Drupal от несанкционированного доступа.

145
Каковы рекомендуемые права доступа к каталогу?

Я готовлюсь к развертыванию сайта Drupal 7 и не могу найти никакой документации о том, на что должны быть установлены рекомендуемые разрешения для файлов и каталогов с учетом требований безопасности. В частности default/files/(и подкаталоги?) settings.php, .htaccessИ что - нибудь еще , что я должен...

96
Каковы недостатки использования кода PHP Filter в блоках, узлах, представлениях-аргументах и ​​т. Д.?

Я много раз видел, как люди говорили, что не следует использовать собственный фильтр PHP / PHP (из пользовательского интерфейса Drupal) в блоках, узлах, аргументах представления, правилах и т. Д. Я немного искал и не нашел много, похоже это лучшая практика Drupal, которую все "просто знают". Я...

52
Как обновить только ядро ​​с помощью Drush?

В <7.32 есть огромная утечка безопасности. Поэтому я хочу обновить все свои сайты на Drupal как можно скорее, не слишком заботясь о том, чтобы что-то сломать. Но... $ drush dl drupal-7.32 It's forbidden to download drupal core into an existing core. Этот работает: $ drush up Но это не то, что я...

40
Drupal SA-CORE-2014-005 - Как определить, что мой сервер / сайты были взломаны?

Я только что обновил все свои сайты, используя метод исправления для исправления эксплойта Drupal SA-CORE-2014-005. Я только что прочитал сообщения о том, что только вчера кто-то из российских IP проник на сайты друпалов. https://www.drupal.org/SA-CORE-2014-005 Мои основные проблемы сейчас: Как мне...

16
Достаточно ли check_plain ()?

Достаточно ли check_plain () для повторного отображения текста, введенного пользователями в браузере, или мне все равно следует фильтровать с помощью filter_xss ()

15
db_insert безопасно?

Я использую Drupal 7 метод db_insert , чтобы вставить данные в пользовательскую таблицу в базе данных Drupal. Я читал, что это предпочтительный способ, однако я прошелся по коду и документу и не вижу нигде, который анализирует значения или говорит мне, что эти значения безопасны. Некоторые значения...

15
Администратор Drupal и логин, их защита с помощью HTTPS

Я много читал об этом и пробовал многие методы, которые нашел, и пока не смог заставить что-либо работать должным образом. Я хочу иметь возможность защитить область администратора и связанные страницы входа в систему. Поэтому все, что находится в example.com/admin/* или example.com/user/* и т. Д.,...

14
Как бороться с кем-то, пытающимся войти в систему как администратор?

В эти последние дни я заметил в своем блоге, что кто-то пытается подкрасться. Человек попытался найти URL-адрес для входа (мой сайт не открыт для регистрации пользователей), поэтому он попробовал все, начиная с my-domain.com/admin, my-domain.com/administrator .., а также my-domain.com/wp- Логин...

11
Как и когда использовать filter_xss () и check_plain ()?

На views-view-fields--magazine--magazine.tpl.phpмоем веб-сайте много таких шаблонов, как этот . как и когда я должен использовать filter_xss () и check_plain () для повышения безопасности? например, это код: <div> <div class="bf-header bf-article-header"><?php print...

10
Кто-то пытается взломать пароль

Просматривая журнал сайта, я обнаружил, что кто-то с IP-адресом: 91.236.74.135 методично отправляет запросы на страницу: / user? Destination = node / add моего веб-сайта Drupal. Он делает это один раз в час. Это определенно бот. Я думаю, он пытается взломать пароль. А пока я забанил его в .htaccess...

9
Безопасен ли drupal от атак с использованием грубой силы?

Атака грубой силой - это попытка получить несанкционированный доступ к веб-сайту, постоянно генерируя и вводя различные комбинации пароля. Эта задача обычно выполняется программным обеспечением автоматизации («бот»), которое ищет сообщения об успехе или сбое и продолжает пробовать новые пароли,...

9
Как определить, входит ли мой сайт в Drupal из эксплойта SA-CORE-2018-002 - 2018?

Только что выпущенный эксплойт: https://www.drupal.org/sa-core-2018-002 --- Ядро Drupal - Очень критично - Удаленное выполнение кода - SA-CORE-2018-002 Как я могу узнать, использовал ли кто-нибудь этот эксплойт для взлома моего сайта? Что они могут сделать с этой уязвимостью, если она выполняется...

8
Будет ли Drupal 6 оставаться в безопасном состоянии после того, как он станет неподдерживаемым?

Я создал пользовательский интерфейс базы данных с использованием Drupal 6 + Views + CCK, который действительно хорошо работает для моей компании, и недавно мне пришлось перенести его на другой сервер. Я подумал: «Эй, почему бы не установить Drupal 7, а затем сбросить в нем базу данных: тогда я...

8
Почему settings.php находится в веб-папке?

При установке по умолчанию файл settings.php находится по адресу sites/default/. На официальном сайте Drupal нет рекомендаций по изменению местоположения этого файла. Разве это не создает потенциальную проблему безопасности? Я видел, как веб-серверы Apache в конечном итоге не могут интерпретировать...

7
base_url для http и https?

У меня есть сайт, который доступен как через http и https. Я вижу жалобу на проверку безопасности, которая base_urlне определена в settings.php. Однако когда я определяю его как http://example.comи очищаю все кэши, мой шаблон в https не отображается. Когда я закомментирую $base_urlстроку,...

7
Что видят заблокированные IP-адреса?

В последние несколько месяцев я получал множество неудачных атак на мой сервер. Я использовал блок Drupal IP для блокировки IP-адресов, которые где-то нюхают на наличие уязвимостей. Я хотел бы знать, если это только для drupal или он добавляет его в ОС. Также, когда я блокирую IP-адрес, что видят...