Questions tagged «security»

使用它来解决与站点安全有关的问题,尤其是那些致力于保护Drupal站点免受未经授权的访问的问题。

11
建议的目录权限是什么?
我正准备部署Drupal 7网站,但找不到任何有关建议将安全意识强的文件和目录权限设置为什么的文档。 具体来说default/files/(也子目录?) settings.php,.htaccess以及其他任何我应该知道的。
145 7  users  security  files 

7
在块,节点,views-args等中使用PHP筛选器代码的缺点是什么?
我见过很多次人们说不要在块,节点,视图参数,规则等中使用自定义PHP / PHP过滤器(来自Drupal UI)。我进行了一些搜索,但没有发现太多,似乎这是所有“都知道”的Drupal最佳实践。 我知道这构成了潜在的安全风险,特别是对于最终用户或刚接触Drupal或PHP的人员而言,但是作为开发人员/网站构建者,真正的原因是不使用Drupal UI中的自定义PHP?
96 security 

3
如何用匆忙升级仅核心?
<7.32中存在巨大的安全漏洞。因此,我想尽快升级我所有的Drupal网站,而不必担心损坏东西。 但... $ drush dl drupal-7.32 It's forbidden to download drupal core into an existing core. 这个作品: $ drush up 但这不是我现在想要的。 如何仅将核心升级到最新版本? drush up drupal 仅仅依靠它是不够的(对不起荷兰人。您会领会到的。) $ drush up drupal Controle of updategegevens beschikbaar zijn ... [ok] Update information last refreshed: di, 10/14/2014 - 20:57 Update status information on all …

7
Drupal SA-CORE-2014-005-如何判断我的服务器/站点是否受到威胁?
我刚刚使用解决Drupal SA-CORE-2014-005漏洞的补丁方法更新了所有站点。我刚刚读到一些报道,就在昨天,有一个来自俄罗斯IP的渗透到drupal网站的人。 https://www.drupal.org/SA-CORE-2014-005 我现在主要担心的是: 如何判断我的网站是否包含在内? 我应该在apache访问日志中搜索什么以检测我的站点是否是受害者? 到目前为止,这些黑客对组成的网站做了什么?
40 7  security 

6
SA-CORE-2014-005(Drupal 7.32)修补程序可以预防哪种攻击?
读了关于https://www.drupal.org/node/2357241,并在技术细节https://www.drupal.org/SA-CORE-2014-005,以及实际的补丁,它很简单: diff --git a/includes/database/database.inc b/includes/database/database.inc index f78098b..01b6385 100644 --- a/includes/database/database.inc +++ b/includes/database/database.inc @@ -736,7 +736,7 @@ abstract class DatabaseConnection extends PDO { // to expand it out into a comma-delimited set of placeholders. foreach (array_filter($args, 'is_array') as $key => $data) { $new_keys = array(); - foreach ($data as $i => …
33 security 



3
Drupal管理区和登录名,使用HTTPS保护它们
我已经阅读了很多有关此的文章,并尝试了许多我发现的方法,但尚未使任何方法正常工作。 我希望能够保护管理区域和关联的登录页面。因此,example.com / admin / *或example.com/user/*等中的任何内容都需要通过SSL / TLS。我们希望将其应用于具有多站点设置的每个站点。因此example1.com,example2.com,example3.com都位于同一服务器/用户帐户上。 设置 Drupal 7多站点 启用清洁网址 PHP 5.3 MySQL v14 d5 阿帕奇2 笔记 不能选择Securepages,因为没有稳定的Drupal 7版本,并且使用现有的dev版本需要修补Drupal Core,这违反了我们的政策。 尝试了会话443失败 尝试过安全登录没有成功 已安装SSL证书(在测试时为自签名证书),该证书可在服务器上用于其他目的,而不是Drupal。 我已经阅读了Drupal.org上有关启用HTTPS的所有文档,并且尝试按照那里的指示进行操作,但收效甚微 我已经切换了settings.php中的$ conf ['https']设置,但没有明显的结果。 问题 如果对站点上的所有内容都启用HTTPS,则尝试通过https://的任何内容都会得到404,这使我认为重写规则不适用于https页面。我在这里想念什么?我可以向htaccess添加重写条件/规则来解决此问题吗? 在Drupal社区中这不是解决的问题吗?人们只是将管理员密码以明文形式发送出去而只是不保留其安全区域吗?我觉得很难相信,但是似乎没有内置的或众所周知的解决方案。
15 users  security  ssl 

1
db_insert安全吗?
我正在使用Drupal 7方法db_insert,将数据插入Drupal数据库的自定义表中。我读过,这是首选的方法,但是我遍历了代码和doco,并且看不到任何解析值的地方,或者告诉我这些值是安全的。 一些值来自用户,因此我需要检查SQL注入攻击。 这是我正在阅读的示例,其中Drupal 6解析值,而Drupal 7版本不解析值。 <?php // Drupal 6 version db_query('INSERT INTO {vchess_games} (gid, timestamps, white, black, state, board_white, board_black) ' . "VALUES ('%s', '%s', '%s', '%s', '%s', '%s', '%s')", $gid, $timestamps, $game['white'], $game['black'], $state, $board_white, $board_black); // Drupal 7 version db_insert('vchess_games') ->fields(array( 'gid' => $gid, 'timestamps' => $timestamps, …

6
如何处理试图以管理员身份登录的人?
在这最后几天,我在dblog中注意到有人试图偷偷摸摸。 该人尝试查找登录网址(我的网站未打开供用户注册),因此他们尝试了my-domain.com/admin、my-domain.com/administrator ..以及my-domain.com/wp-登录(表示该人不熟悉drupal。) 一旦此人最终以/ user身份登录,他或她尝试通过尝试使用其他用户名(例如admin,administrator等)以admin身份登录(我从未将'admin'用作根用户的用户名) 有什么方法可以防止/保护Drupal网站免受此类攻击? 谢谢 ps:我对d6和d7都感兴趣。
14 security  users 


1
如何以及何时使用filter_xss()和check_plain()?
views-view-fields--magazine--magazine.tpl.php我的网站上有很多这样的模板文件。我应该如何以及何时使用filter_xss()和check_plain()来提高安全性?例如,这是代码: <div> <div class="bf-header bf-article-header"><?php print $fields['title']->content; ?></div> <div class="bf-article-body"><?php print $fields['field_magazine_body']->content;?></div> <div class="bf-article-image"><?php print $fields['field_magazine_image']->content;?></div> </div> <div class="separator article-view-separator"></div> 如何在其中应用这些功能?
11 security 

4
有人试图强行使用密码
查看站点日志,我发现某个IP地址为91.236.74.135的人正在有条不紊地向以下页面发送请求:/ user?destination = node /我的Drupal网站的地址。他每小时做一次。绝对是机器人。我认为,他正在尝试暴力破解密码。目前,我以 deny from 91.236.74.135 谁能提供建议,如何保护网站免受登录的暴力攻击?
10 security 


4
Drupal可以抵抗暴力登录攻击吗?
暴力攻击是通过不断生成和输入各种密码组合来获得未经授权访问网站的尝试。此任务通常由自动化软件(“机器人”)完成,该软件会查找成功或失败消息,并不断尝试输入新密码,直到获得成功消息为止。 默认情况下,Drupal 7是否可以安全使用它?什么是更安全的配置呢?哪个模块可以帮助我更安全地登录?
9 security 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.