我有一个hostgator网站,我在其上安装了Drupal。它工作正常,直到上周末。我主要是.net开发人员,我不确定这个开源应用程序的配置。
最近,我注意到创建了大量用户帐户,他们以前从未登录过。因此,在设置Google分析后,我确定我的网站遭到黑客入侵。我做出了这个决心,因为大部分的流量和用户流量都来自俄罗斯,塞尔维亚和罗马尼亚,黑客的避风港!
我意识到我的网站不安全。所以现在我将网站置于维护模式,卸载现有的Drupal 7,并安装了新的安装。现在非常新鲜,我的任务是找到一些好的安全实践。
我想知道除了these之外我可以实施哪些安全措施。
另外,如何连接到我网站的命令行来更改文件权限设置?目前,我正在使用Filezilla并右键单击以更改属性。
谢谢,并为长期问题道歉。
P.S。这是我的website。
答案 0 :(得分:2)
Hostgator提供SSH access。使用WinSCP之类的工具传输文件,使用PuTTy访问命令行。一旦获得命令行访问权限,您就可以安装Drush on Hostgator。 Drush将帮助您使用命令行执行许多管理操作,强烈建议您使用。由于您是.Net开发人员,我认为您可能正在使用Windows进行开发。好消息是你也可以在Windows上安装Drush。
您确定自己的网站确实被黑了吗?因为,如果您转到帐户设置页面(http:// your-site / admin / config / people / accounts)并查看谁可以注册帐户?,您会看到三个选项。默认为“访客可以创建帐户”。如果您不将此设置更改为其他设置,则您的新网站将再次面临同样的问题。否则,您可以选择访问者创建帐户时需要电子邮件验证选项。
减少在Drupal网站上创建帐户的垃圾邮件制造者数量的另一种方法是安装CAPTCHA或reCAPTCHA模块,并将其配置为在用户创建帐户时向用户展示质询。这将阻止许多垃圾邮件发送者。您还可以使用Apache .htaccess文件block specific IP范围。您将在Drupal安装文件夹中找到.htaccess文件。
另一个好的做法是定期更新Drupal核心并为安全修复提供模块。如果您转到页面 admin / reports / updates ,您将看到哪个模块需要更新。命令行和Drush将帮助您简化此过程的某些部分。
如果您定期更新Drupal(核心和模块),使用SSH进行文件传输并应用正确的文件权限,您的站点应该都是安全的。考虑到Drupal安全团队和Drupal社区提供的所有帮助,维护一个安全的Drupal站点并不难。
答案 1 :(得分:0)
有一个Drupal Group(论坛)处理Best Practices in Drupal Security,它提供了许多关于如何保护Drupal站点的出色建议。至于通过命令行访问您的站点,我检查并且Hostgator允许在所有托管计划上进行SSH访问。您应该能够通过SSH登录,切换到Drupal安装中的子目录,并使用'chmod'命令更改文件或目录的权限。
祝你好运!