Bezpieczeństwo drupala

13 Lipiec, 2013 - 17:17

Witam mam pytanie ,zastanawiam się na bezpieczeństwem drupalowych stron
Z racji tego ze szef jest zakochany w drupalu . W firmie jest masa większy i małych stronek na drupalu
Do tego czasu nie miałem z nimi zadnego problemu.
Widze ze dział ten "bezpieczeństwo " nie jest zbytnio odwiedzany. To znaczy ze drupal jest bezpieczenym cms ?:P

Ostatnio zainteresowałem się wordpressem. Uważam ze do dobry cms do prostych stronek ale niestety zrobilem pierwszą strone na wordpressie i odrazu jakiś skrypt wstrzyknął kod php ^^ i super komunikat google "twoja strona posiada wirusa cos tam cos :D"

14 Lipiec, 2013 - 11:48

Jak ledwo stronę odpaliłeś a już ktoś/coś się dostało to znaczy, że albo o czymś zapomniałeś, albo serwer fajny albo miałeś cholernego pecha i wybrałeś jakąś ciekawą wtyczkę lub skórkę.

No chyba, że dodałeś jakiś iframe i google uznał to za wirus a ty wślad za googlem - Mam wirusa!

14 Lipiec, 2013 - 11:48

Mnie póki co nikt się nie włamał na drupcia.
Wordpress jest najpopularniejszym systemem, stąd może być duże zainteresowanie 'hakerów'.
NA korzyść drupcia przemawia fakt, ze moduły umieszczane na drupal.org przechodzą poważną analizę kodu, nie przejdzie kod z umieszczonym backdoorem.

14 Lipiec, 2013 - 11:52

Na WordPress też wtyczki przechodzą weryfikację.

nie przejdzie kod z umieszczonym backdoorem

Nie przejdzie na dzień dobry ale później hulaj dusza, do czasu aż security team namierzy lukę lub autor sam ją naprawi.

18 Marzec, 2014 - 01:03

Używam modułu Security review ,mam komunikat bezpieczeństwa

"PHP files in the Drupal files directory can be executed." w szczegółach mam :

The Drupal files directory is for user-uploaded files and by default provides some protection against a malicious user executing arbitrary PHP code against your site.

Read more about the risk of PHP code execution on Drupal.org.

The .htaccess file exists but does not contain the correct content. It is possible it's been maliciously altered.

18 Marzec, 2014 - 20:39

Któreś z ostatnich wydań Drupala wymagało naniesienia zmian w htaccess w files, files/private i chyba też głównym htaccess. Naniosłeś te zmiany?

4 Kwiecień, 2014 - 17:31

hm a jakie muszą one być ?

NA innej stronie która stoi na zwykłej wirtualce modul krzyczy mi :

Błąd PHP files in the Drupal files directory can be executed.

The .htaccess file exists but does not contain the correct content. It is possible it's been maliciously altered.

The .htaccess file is writeable which poses a risk should a malious user find a way to execute PHP code they could alter the htaccess file to allow further PHP code execution.

Błąd Some files and directories in your install are writable by the server.


./INSTALL.pgsql.txt
./cron.php
./install.php
./modules/rdf/rdf.info
./modules/rdf/rdf.test
./modules/rdf/tests/rdf_test.install
./modules/rdf/tests/rdf_test.info
./modules/rdf/tests/rdf_test.module
./modules/rdf/tests
./modules/rdf/rdf.module
./modules/rdf/rdf.install
./modules/rdf/rdf.api.php
...

..
..
.
.
..
.
./scripts/cron-lynx.sh
./scripts/drupal.sh
./scripts/generate-d6-content.sh
./scripts/dump-database-d6.sh
./scripts/dump-database-d7.sh
./scripts/test.script
./scripts/run-tests.sh
./scripts/generate-d7-content.sh
./scripts/password-hash.sh
./scripts/cron-curl.sh
./scripts
./themes/garland/fix-ie-rtl.css
./themes/garland/comment.tpl.php
./themes/garland/logo.png
./themes/garland/fix-ie.css
./themes/garland/template.php

4 Kwiecień, 2014 - 21:05

The .htaccess file exists but does not contain the correct content. It is possible it's been maliciously altered.

zobacz sobie zawartosc htaccess dla glownej lokalizacji i htaccess dla sites/all/default i taka sama zawartosc dodaj u siebie

The .htaccess file is writeable which poses a risk should a malious user find a way to execute PHP code they could alter the htaccess file to allow further PHP code execution.

twoj htaccess mozna nadpisac, nadaj kazdemu htaccess uprawnienia 444

6 Kwiecień, 2014 - 19:03

drupal/.htaccess

Poprzez ftp na serwerze wirtualnym nie moge zmienić tego pliku na 444 , bo i tak mi ciągle wraca do 644 :(

drupal/sites/default/files/.htaccess
jego kod to :

# Turn off all options we don't need.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
Options None
Options +FollowSymLinks

# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006

# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003

# If we know how to do it safely, disable the PHP engine entirely.

php_flag engine off

6 Kwiecień, 2014 - 20:23

to ticket do admin hostingu i niech zmieni uprawnienia + przy okazji uprawnienia htaccess wewnątrz katalogu private

ps to "SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006" wystarczy tylko raz

10 Kwiecień, 2014 - 13:47

Zrobiłem jak napisałeś
a teraz mam :

The following files and directories appear to be writeable by your web server. In most cases you can fix this by simply altering the file permissions or ownership. If you have command-line access to your host try running "chmod 644 [file path]" where [file path] is one of the following paths (relative to your webroot).

10 Kwiecień, 2014 - 23:12

ten komunikat nic nie mówi prócz tego, że nadal któreś pliki i katalogi mają złe uprawnienia, nie wiem, może kwestia nadrzędnego katalogu a nie tych wewnątrz

public_html jakie ma uprawnienia?

Gdzieś na drupal.org byla fajna rozpiska uprawnien poszczegolnych katalogow, jakbys znalazł to przeklej linka, przyda się jakby co innym.

11 Sierpień, 2014 - 11:59

Czy istnieją jakieś przesłanki, jakoby miało nastąpić wdrożenie bezpiecznego SSL-a https na stałe do panelu Drupala? Tzn. jedynie kwestie certyfikatów byłyby istotne w tym momencie.

17 Sierpień, 2014 - 01:47

nie do końca Cie rozumie ale używanie ssl to kwestia konfiguracji htacces
ustawiasz przekierowanie z http na https i to wszytko
certyfikat możesz zgarnąć za darmo z https://www.startssl.com/

5 Październik, 2014 - 19:20

Mi storna poszła na straty, miałem spotkanie z jakimś botem który zaspamował treścią stronę. Wraz z usunięciem tego delikwenta i treści z nim związanej strona się nie odpali ;(
teraz pytanie gdzie w drupalu znajdę artykuły które były na niej by móc je skopiować?

5 Październik, 2014 - 19:56

po 1. nie masz jakiegos backupu? czesto hostingi robia backup24
po 2. próbowałeś update?
po 3. artykułów szukaj w bazie danych field* oraz node
jednak nie wiem czy nie lepiej spróbować poprawić to co sie popsuło

22 Maj, 2018 - 06:40

[url=http://www.webyhostingbarato.com/wp-content/biller.php?wz=124-Boldenone… Rwr Australia[/url]
Ensure that you know your desired goals in relation to forex trading. Would you like to come to be well-off or are you looking to only make some extra fun cash? The time are you able to invest figuring out the ins and outs of buying and selling? Figure all this out ahead of time and you will probably absolutely, go a long way.
[url=http://www.bochristensen.dk/tmp/hero.php?cat=284]Buy Testosterone Powder[/url]
Should you suffer from ringing in ears work to alleviate any sinus over-crowding you could have. The strain from over-crowding can increase your ringing in ears signs. Try out slumbering with your head heightened and in case you have allergic reaction handle them the ideal that one could. Trying to keep a comfortable air humidifier can also help to look at the congestion, which will ease your ringing in the ears symptoms.
[url=http://www.iwa.kiev.ua/plugins/header.php?hj=328-Cheap-Testosterone-The… Testosterone Therapy[/url]
To remain encouraged when placing time into Search engine optimisation, offer you on your own benefits. Establish visitors objectives, and provide yourself a particular treat whenever you attain them. Realizing you might have something special waiting around for you are going to encourage you to put extra commitment into the SEO, and will allow you to get achievement rapidly.
[url=http://www.exclusivecocktails.co.uk/includes/media.php?bn=289-Köpa-Viagra-Säkert-Levitra-Köpa-Viagra-25-Mg-Pris/]Köpa Viagra Säkert[/url]