将Drupal站点部署到生产服务器时是否需要采取特殊的安全措施?
例如:我可以成像,我们需要从根目录中删除install.php。还有其他行动吗?
或者是否有可用的模块检查网站是否“世界准备就绪”
答案 0 :(得分:5)
http://your-site/admin/reports/status上的状态报告会告诉您是否有任何不正确之处。
在性能管理页面下,您可以启用各种缓存设置,但在部署之前测试您的网站并打开它们。
确保drupal有book by greggles,这可能值得一看。
答案 1 :(得分:2)
理想情况下,您在部署之前已经测试了代码的不安全性,但通常会错过配置。有一种模式可以分析您的Drupal站点是否存在错误配置,从而导致漏洞http://drupal.org/project/security_review
安全审核会进行以下检查:
答案 2 :(得分:1)
除了其他建议外,还要删除update.php。
我还要(重新)从webroot移动/脚本
这是一个小问题,但您可以删除分发根目录中泄漏版本号的文本文件。如CHANGELOG.txt等。
我不记得cron.php如何安全地保护自己免受洪水呼唤。您可能希望了解是否值得将其限制为仅限本地访问或仅限命令行访问。
确保PHP处理.inc文件。
答案 3 :(得分:1)
所有这些答案都会让你在安装完成后停止思考 - 但是软件有历史,安装drupal之后你还有一个宝宝可以观看 - 在drupal的案例中非常仔细地观看!这意味着您必须订阅drupal安全邮件列表并阅读所有来自那里的邮件 - 准备好收到许多电子邮件。很棒,drupal团队正在快速提供这些信息,但令人遗憾的是这些邮件真的太多了,这可能与drupals编程风格有关。准备好在半夜不止一次起床来更新你的drupal安装,因为一些扩展开发人员从未理解过,为什么必须对来自网络的输入进行消毒(是的,这些安全问题仍然在drupal世界中发生) 。) 所以“强化”意味着“跟上更新”,在drupals案例中这些经常出现。如果您有许多站点并想要部署到多个服务器,请考虑这一点 - 自动deploymemts将帮助您节省大量时间。
答案 4 :(得分:1)
这是Drupal 7的优秀纲要:http://www.madirish.net/242。
它的大多数建议也与Drupal 6有关。
答案 5 :(得分:0)
您还应该删除主题注册表重建设置。
它会在每个页面加载时重建您的主题注册表,因此它会使您的网站变得非常慢。