如果我在生产环境中将$update_access_free = TRUE留在Drupal中,会引发什么样的潜在安全风险?在那种情况下,everyone can run update.php。假设没有可用的更新,攻击者可以做什么?
答案 0 :(得分:8)
如果保持启用状态,攻击者可以运行旧的更新,这在一个好的情况下只会降低站点的性能,但在最坏的情况下可能会导致数据丢失或数据损坏。
答案 1 :(得分:0)
我甚至不允许访问,因为它是不必要的。
有人可以使用系统资源不断访问和运行此页面。
答案 2 :(得分:0)
如果您要查找的是轻松更新网站的方法,则应添加带有Drush命令的cron作业,以便在深夜更新网站。现在,开发人员不时发布模块修复或升级,可能会在您的网站上制造某些东西。希望在Drupal 7中可以使用站点界面完成更新,我相信可能会有某种控制台模块来保持多个站点的更新。