【发布时间】:2010-02-27 12:44:10
【问题描述】:
drupal 在某些方面容易受到攻击吗? 或者它通常是一个安全的 CMS 吗?
cron.php 怎么样。可以重载吗?
谢谢
【问题讨论】:
标签: drupal
drupal 在某些方面容易受到攻击吗? 或者它通常是一个安全的 CMS 吗?
cron.php 怎么样。可以重载吗?
谢谢
【问题讨论】:
标签: drupal
Drupal 总体上是相对安全的,但漏洞会像任何 Web 应用程序一样时不时出现。确保监控 Security advisories 并对您使用的核心和贡献模块报告的任何缺陷做出反应(您可以通过订阅 Drupal.org 帐户页面上的新闻通讯通过邮件获取这些缺陷)。
至于 cron.php,默认的 Drupal 安装不会保护它不被任何人直接调用,因此暴露了一些 DOS 风险,但您可以通过 .htaccess 规则限制对它的访问来很容易地屏蔽它 - 请参阅@987654322 @ 进行一些讨论(不要担心 - cron.php 本身不会暴露任何数据)。
【讨论】:
Drupal 通常是相当安全的。请务必检查更新并安装它们。 (如果您以管理员身份登录您的站点,您会收到新更新通知。)cron.php 负责站点维护和更新检查。查看来自 drupal 论坛 http://drupal.org/node/41049 的这个帖子,其中提出了类似的问题。
【讨论】:
Drupal 无处不在,并且经过验证且专业。如果他们足够努力,任何人都可能引入安全漏洞,因此请确保您不要做任何愚蠢的事情。
【讨论】:
如果 Drupal 中存在安全漏洞,社区会在数小时内发现它,并可能在同一天或两天内发布更新。你真的没有什么可担心的,如果黑客确实想针对 Drupal 站点,他们可能会选择一个知名度更高的站点。
【讨论】:
Drupal 拥有优秀的安全团队和社区,许多新的安全功能将出现在下一个版本 (7) 中 - 但理论上让匿名用户能够调用 cron.php(在版本 6 中)是一种安全风险,并且会带来轻微的 DDOS 风险。但它在 .htaccess 中很容易受到保护(如 Henrik Opel 所述) - 我也使用该方法并针对 other sensitive files 进行了改编。好消息是它受到 Drupal 7 中的哈希保护,请参阅本演示文稿中的幻灯片 26 (http://code4lib.org/files/drupal7-c4l10.pdf)
【讨论】: