自分のサイトの穴を塞ぐために使用できる、Drupal のエクスプロイト (一般的なモジュールを含む) の既知の修正の優れたリソースまたはリストはありますか?
私はすべてのサイトで 6.19 を使用しており、モジュールのセキュリティ アップデートがすぐにインストールされるようにしています。他に現実的にできることはありますか?(すべての「/admin」URL へのアクセスを特定の IP アドレスのセットに制限するなど)
フォームでのユーザー入力のフィルタリングなど、明らかなビットについては知っていますが、心配する必要がある他の落とし穴があるかどうか疑問に思っています...
すべての一般的な PHP セキュリティ。実際、OWASP によって公開されたトップ 10 のみです。ただし、Drupal は Web アプリケーション フレームワークとしても機能します。
Drupal には、上位 10 の OWASP 問題すべてに対応するセキュリティ モデルとレイヤーがあります。ただし、A6 (構成) はうまくいかない可能性があります。何をしているのかを理解し、Drupals admin のオンライン ヘルプを詳細に読む必要があります。正確な動作を知らずに設定を変更すると、セキュリティ ホールが簡単に開く可能性があります。例: デフォルトの「入力フォーマット」をフル HTML などに切り替える多くの Drupal サイトを見てきました。これは、コメントを含むすべてのコンテンツのフィルターがこのフォーマットになることに気付いていないためです。あらゆる場所で XSS 投稿を開きます。Drupals のオンライン ヘルプではこれについて言及されていますが、人々はそれを読まないことがよくあります :)
もう 1 つ認識すべきことは、Drupal は事前にコードをスキャンしないということです。人々は対処する前に、コード全体を読み、見つかったセキュリティの問題を報告する必要があります。多くのサードパーティ製モジュールを実行している場合、少なくともそのうちの 1 つにセキュリティ ホールがあることはほぼ確実です。それを回避したい場合は、自分自身をスキャンするか、そのようなモジュールをすべて回避する必要があります。
Drupal のセキュリティに関する本は次のとおりです。
http://www.amazon.com/Cracking-Drupal-Bucket-Greg-Knaddison/dp/0470429038
Drupal コアといくつかの最も一般的なモジュールを使用していることを考えると、かなり安全です。それでも、いくつかのことを覚えておく必要があります。
Drupal 自体はかなり安全ですが、そのモジュールはそうではありません。デフォルトの Drupal インストールを変更すると、ハッキングされる可能性が最も高くなります。
そうは言っても、Web Application Firewallをインストールする必要があります。PHP がPHPSecInfoで正しく構成されていることを確認し、MySQLをロックダウンします。(FILE特権は、Web アプリケーションに付与できる最悪の特権です)