タグ付けされた質問 「security」

サイトのセキュリティに関する質問、特にDrupalサイトを不正アクセスから保護することに焦点を当てた質問に使用してください。

11
推奨されるディレクトリ権限は何ですか?
Drupal 7サイトの展開に向けて準備を進めていますが、推奨されるセキュリティ重視のファイルおよびディレクトリのアクセス許可の設定に関するドキュメントが見つかりません。 具体的にdefault/files/(また、サブディレクトリ?)、 settings.php、.htaccessと私は知っておくべき何か。
145 7  users  security  files 

7
ブロック、ノード、ビュー引数などでPHP Filterコードを使用することの欠点は何ですか?
ブロック、ノード、ビュー引数、ルールなどでカスタムのPHP / PHPフィルター(Drupal UIから)を使用しないと言っている人を何度も見ました。少し検索して、あまり見つけていないようです。これは、すべてが「知っている」Drupalのベストプラクティスです。 特にエンドユーザーまたはDrupalまたはPHPを初めて使用する人々の手に潜在的なセキュリティリスクをもたらすと理解していますが、開発者/サイトビルダーとしてDrupal UIからカスタムPHPを使用しない本当の理由は何ですか?
96 security 

3
Drushでコアのみをアップグレードする方法は?
<7.32には大きなセキュリティリークがあります。だから、物を壊すことをあまり心配することなく、すべてのDrupalサイトをできるだけ早くアップグレードしたい。 しかし... $ drush dl drupal-7.32 It's forbidden to download drupal core into an existing core. これは動作します: $ drush up しかし、それは私が今欲しいものではありません。 コアを最新バージョンにのみアップグレードするにはどうすればよいですか? drush up drupal それだけでは十分ではありません:(オランダ語についてはごめんなさい。要点がわかります。) $ drush up drupal Controle of updategegevens beschikbaar zijn ... [ok] Update information last refreshed: di, 10/14/2014 - 20:57 Update status information on all …

7
Drupal SA-CORE-2014-005-サーバー/サイトが侵害されたかどうかを確認する方法
Drupal SA-CORE-2014-005エクスプロイトを解決するパッチ方式を使用して、すべてのサイトを更新しました。私は昨日、ロシアのIPからdrupalサイトに侵入している人がいるという報告を読みました。 https://www.drupal.org/SA-CORE-2014-005 私の主な関心事は次のとおりです。 サイトが構成されているかどうかを確認するにはどうすればよいですか? 私のサイトが被害者であったかどうかを検出するには、Apacheアクセスログで何を検索する必要がありますか? これまでのところ、これらのハッカーは構成サイトに対して何をしているのでしょうか?
40 7  security 

6
SA-CORE-2014-005(Drupal 7.32)のパッチはどのような攻撃を防ぎますか?
上に読み込みhttps://www.drupal.org/node/2357241との技術的な詳細https://www.drupal.org/SA-CORE-2014-005だけでなく、単純に実際のパッチ: diff --git a/includes/database/database.inc b/includes/database/database.inc index f78098b..01b6385 100644 --- a/includes/database/database.inc +++ b/includes/database/database.inc @@ -736,7 +736,7 @@ abstract class DatabaseConnection extends PDO { // to expand it out into a comma-delimited set of placeholders. foreach (array_filter($args, 'is_array') as $key => $data) { $new_keys = array(); - foreach ($data as $i => …
33 security 


1
check_plain()で十分ですか?
される)(check_plainブラウザでユーザーが入力したテキスト、または持つ必要があり、私はまだ、フィルタを再表示するための十分なfilter_xssを() ?
16 security 

3
Drupal管理エリアとログイン、HTTPSでそれらを保護する
私はこれについて多くのことを読み、私が見つけた多くの方法を試しましたが、まだ適切に機能するものを取得することができませんでした。 管理領域と関連するログインページを保護できるようにします。そのため、example.com / admin / *やexample.com/user/*などにあるものはすべて、SSL / TLSを経由する必要があります。これは、マルチサイト設定を使用して各サイトに適用したいです。したがって、example1.com、example2.com、example3.comはすべて同じサーバー/ユーザーアカウントにあります。 セットアップ Drupal 7マルチサイト クリーンURLが有効 PHP 5.3 MySQL v14 d5 Apache2 ノート Securepagesはオプションではありません。安定したDrupal 7リリースがないため、既存の開発バージョンを使用するにはDrupal Coreにパッチを適用する必要があり、これはポリシーに違反します セッション443を試してみましたが成功しませんでした 安全なログインを試みましたが成功しませんでした SSL証明書(現時点ではテスト中の自己署名証明書)がインストールされ、Drupalではなく他の目的のためにサーバーに機能します。 Drupal.orgでHTTPSの有効化に関するすべてのドキュメントを読み、ほとんど成功せずにそこの指示に従うことを試みました settings.phpの$ conf ['https']設定を切り替えましたが、識別できる結果はありません。 質問 サイトのすべてに対してHTTPSを有効にすると、https://を通過しようとするものに対して404が返されます。これにより、書き換えルールがhttpsページに適用されていないと思うようになります。ここに何が欠けていますか?これを修正するためにhtaccessに追加できる書き換え条件/ルールはありますか? これは、Drupalコミュニティで解決された問題ではありませんか?ユーザーのパスワードは平文で送信され、管理者エリアは保護されないままになっていますか?これを信じるのは難しいと思いますが、問題に対する組み込みのまたは一般的に知られている解決策はないようです。
15 users  security  ssl 

1
db_insertは安全ですか?
Drupal 7のメソッドdb_insertを使用して、Drupalデータベースのカスタムテーブルにデータを挿入しています。私はこれが好ましい方法であることを読みましたが、コードとdocoを調べたところ、値を解析する場所や、これらの値が安全であることを教えてくれる場所がどこにもありません。 一部の値はユーザーから取得されるため、SQLインジェクション攻撃をチェックする必要があります。 これは私が読んでいた例で、Drupal 6は値を解析しますが、Drupal 7バージョンは解析しません。 <?php // Drupal 6 version db_query('INSERT INTO {vchess_games} (gid, timestamps, white, black, state, board_white, board_black) ' . "VALUES ('%s', '%s', '%s', '%s', '%s', '%s', '%s')", $gid, $timestamps, $game['white'], $game['black'], $state, $board_white, $board_black); // Drupal 7 version db_insert('vchess_games') ->fields(array( 'gid' => $gid, 'timestamps' => $timestamps, …

6
管理者としてログインしようとしている人に対処するにはどうすればよいですか?
これらの最後の日の間、私は私のブログで、誰かがこっそりしようとしていることに気付きました。 ユーザーはログインURLを見つけようとしました(私のWebサイトはユーザー登録用に開かれていません)。したがって、my-domain.com / admin、my-domain.com / administrator ..、my-domain.com/wp-のすべてを試しました。ログイン(個人がdrupalに慣れていないことを示します。) 人が/ userになった後、彼または彼女は別のユーザー名を試してadminとしてログインしようとしました:admin、administrator ...(rootユーザーのユーザー名として「admin」を使用することはありません) このようなことからdrupalウェブサイトを防止/保護する方法はありますか? ありがとう ps:d6とd7の両方でこれを行う方法に興味があります。
14 security  users 


1
filter_xss()およびcheck_plain()をいつどのように使用しますか?
views-view-fields--magazine--magazine.tpl.php私のウェブサイトには、このようなテンプレートファイルがたくさんあります。セキュリティを向上させるために、filter_xss()およびcheck_plain()をどのように、いつ使用する必要がありますか?例えばこれはコードです: <div> <div class="bf-header bf-article-header"><?php print $fields['title']->content; ?></div> <div class="bf-article-body"><?php print $fields['field_magazine_body']->content;?></div> <div class="bf-article-image"><?php print $fields['field_magazine_image']->content;?></div> </div> <div class="separator article-view-separator"></div> それらの関数をどのように適用できますか?
11 security 

4
誰かがパスワードを総当たり攻撃しようとしています
サイトログを見ると、IPアドレスが91.236.74.135の誰かが、Drupal Webサイトのページ/ user?destination = node / addにリクエストを体系的に送信していることがわかりました。彼は毎時一回それをします。それは間違いなくボットです。私は彼がパスワードを総当たり攻撃しようとしていると思います。今のところ、.htaccessで彼を禁止しました deny from 91.236.74.135 ログインに対するブルートフォース攻撃からサイトを保護する方法を教えてください。
10 security 

4
DrupalサイトがSA-CORE-2018-002 — 2018年3月のエクスプロイトで構成されているかどうかを確認するにはどうすればよいですか?
リリースされたばかりのエクスプロイト:https : //www.drupal.org/sa-core-2018-002 --- Drupalコア-非常に重要-リモートコード実行-SA-CORE-2018-002 誰かがこのエクスプロイトを使用して自分のサイトをハッキングしたかどうかを確認するにはどうすればよいですか? 適切に実行された場合、このエクスプロイトで何ができますか? 現在、Drupalサイトを更新できません。この穴を簡単にパッチするための良い代替手段は何ですか?

4
drupalはブルートフォースログイン攻撃に対して安全ですか?
ブルートフォース攻撃は、パスワードのさまざまな組み合わせを継続的に生成して入力することにより、Webサイトへの不正アクセスを試みる試みです。このタスクは通常、成功または失敗のメッセージを探し、成功メッセージを受け取るまで新しいパスワードを試行し続ける自動化ソフトウェア(「ボット」)によって実行されます。 Drupal 7はデフォルトでそれに対して安全ですか?より安全な構成は何ですか?より安全なサインインに役立つモジュールはどれですか?
9 security 

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.