Úselo para preguntas relacionadas con la seguridad del sitio, en particular aquellas enfocadas en proteger un sitio Drupal del acceso no autorizado.
Me estoy preparando para implementar un sitio de Drupal 7 y no puedo encontrar ninguna documentación sobre lo que los permisos de directorio y archivo de seguridad recomendados deberían estar configurados. Específicamente default/files/(¿también subdirectorios?) settings.php, .htaccessY cualquier...
He visto muchas veces a personas que dicen que no deben usar filtros PHP / PHP personalizados (desde la interfaz de usuario de Drupal) en bloques, nodos, vistas-argumentos, reglas, etc. He buscado un poco y no he encontrado mucho, parece que Esta es una mejor práctica de Drupal que todos "solo...
Hay una gran fuga de seguridad en <7.32. Así que quiero actualizar todos mis sitios de Drupal lo antes posible sin preocuparme demasiado por romper cosas. Pero... $ drush dl drupal-7.32 It's forbidden to download drupal core into an existing core. Este funciona: $ drush up Pero eso no es lo...
Acabo de actualizar todos mis sitios utilizando el método de parche para resolver el exploit Drupal SA-CORE-2014-005. Acabo de leer informes de que ayer había alguien de una IP rusa que se infiltraba en los sitios de drupal. https://www.drupal.org/SA-CORE-2014-005 Mis principales preocupaciones...
Lectura en https://www.drupal.org/node/2357241 y los detalles técnicos en https://www.drupal.org/SA-CORE-2014-005 , así como el parche real que es simplemente: diff --git a/includes/database/database.inc b/includes/database/database.inc index f78098b..01b6385 100644 ---
¿Cuáles son las diferencias entre ['value']y
¿Es check_plain () suficiente para volver a mostrar el texto ingresado por los usuarios en el navegador, o aún debería filtrar con filter_xss ()
Estoy usando el método Drupal 7 db_insert , para insertar datos en una tabla personalizada en la base de datos de Drupal. He leído que esta es la forma preferida, sin embargo, he recorrido el código y el doco y no puedo ver ningún lugar que analice los valores o me diga que estos valores son...
He estado leyendo mucho sobre esto y probando muchos de los métodos que he encontrado y aún no he podido hacer que nada funcione correctamente. Quiero poder proteger el área de administración y las páginas de inicio de sesión asociadas. Por lo tanto, cualquier cosa en example.com/admin/* o...
Después de instalar Drupal, hay archivos en el directorio raíz que debo eliminar. Sé que install.php es uno de esos. ¿Qué otros archivos debo
Durante estos últimos días, noté en mi dblog que alguien había estado tratando de escabullirse. La persona trató de encontrar la URL de inicio de sesión (mi sitio web no está abierto para el registro de usuarios), por lo que intentó todo desde my-domain.com/admin, my-domain.com/administrator .. y...
Hay muchos archivos de plantilla como este views-view-fields--magazine--magazine.tpl.phpen mi sitio web. ¿Cómo y cuándo debo usar filter_xss () y check_plain () para mejorar la seguridad? por ejemplo este es el código: <div> <div class="bf-header bf-article-header"><?php print...
Al observar el registro del sitio, descubrí que alguien con la dirección IP: 91.236.74.135 está enviando metódicamente solicitudes a la página: / user? Destination = node / add de mi sitio web de Drupal. Lo hace una vez cada hora. Definitivamente es un bot. Creo que está tratando de forzar la...
Un ataque de fuerza bruta es un intento de obtener acceso no autorizado a un sitio web generando e ingresando continuamente varias combinaciones de una contraseña. Esta tarea generalmente la realiza un software de automatización (un "bot") que busca mensajes de éxito o error y sigue probando nuevas...
Exploit recién lanzado: https://www.drupal.org/sa-core-2018-002 --- Drupal core - Altamente crítico - Ejecución remota de código - SA-CORE-2018-002 ¿Cómo puedo saber si alguien usó este exploit para hackear mi sitio? ¿Qué pueden hacer con este exploit si se ejecutan correctamente? No puedo...
Creé una interfaz de base de datos personalizada usando Drupal 6 + Vistas + CCK que funciona muy bien para mi empresa y recientemente tuve que migrarla a otro servidor. Pensé "Oye, ¿por qué no instalar Drupal 7 y luego volcar la base de datos en él: entonces puedo actualizar Drupal a la última...
En la instalación predeterminada, settings.php se encuentra en sites/default/. No hay recomendaciones en el sitio web oficial de Drupal sobre cómo cambiar la ubicación de este archivo. ¿No plantea un problema potencial de seguridad? He visto servidores web Apache que finalmente no pueden...
Tengo un sitio al que se puede acceder a través de http y https. Veo que la revisión de seguridad se queja de que base_urlno está definida en settings.php. Sin embargo, cuando lo defino como http://example.comy vacío todos los cachés, mi plantilla en https no se representa. Cuando comento la...
He recibido muchos ataques fallidos dirigidos a mi servidor en los últimos meses. He estado usando el bloqueo de IP de Drupal para bloquear las direcciones IP que detectaban vulnerabilidades. Me gustaría saber si esto es solo para drupal o si también lo está agregando al sistema operativo. Además,...