ДРУПАЛ: это безопасно? / cron.php?

Question

уязвим ли друпал в каком-то аспекте? Или это вообще безопасная CMS?

Как насчет cron.php. Это может быть перегружено?

спасибо

Answer 1

Drupal в целом относительно безопасен, но уязвимости появляются регулярно, как и в любом веб-приложении. Обязательно следите за рекомендациями по безопасности и реагируйте на любые недостатки, о которых там сообщается, для используемых вами основных и дополнительных модулей (вы можете получить их по почте, подписавшись на рассылку новостей на страницах вашей учетной записи Drupal.org). *

Что касается cron.php, установка Drupal по умолчанию не защищает его от прямого вызова кем-либо, таким образом подвергая некоторому риску DOS, но вы можете довольно легко защитить его, ограничив доступ к нему через правила .htaccess - см. http://drupal.org/node/41049 для обсуждения (не волнуйтесь, cron.php не предоставит никаких данных).

Answer 2

Drupal в целом довольно безопасен. Только не забудьте проверить наличие обновлений и установить их. (Вы получите уведомление, если появятся новые обновления, если вы войдете на сайт как администратор.) Cron.php отвечает за обслуживание сайта и проверку обновлений. Загляните в эту ветку на форумах drupal http://drupal.org/node/41049, где был задан похожий вопрос.

Answer 3

В Drupal есть хорошая команда безопасности и сообщество, и в следующем выпуске появятся многие новые функции безопасности (7), но теоретически наличие анонимных пользователей, способных вызвать cron.php (в версии 6), представляет собой угрозу безопасности незначительный риск DDOS. Но он легко защищен в .htaccess (как упомянуто Henrik Opel ) - я тоже использую этот метод с адаптациями для других конфиденциальных файлов . Хорошей новостью является то, что он защищен хешем в Drupal 7, см. Слайд 26 в этой презентации (http://code4lib.org/files/drupal7-c4l10.pdf)

Answer 4

Если бы в Drupal была обнаружена уязвимость системы безопасности, сообщество бы ее обнаружило в течение нескольких часов и, вероятно, выпустило бы обновление в течение того же дня или двух. Вам действительно не о чем беспокоиться, и если хакеры действительно захотят нацелиться на сайт Drupal, они, вероятно, выберут более высококлассный.

Answer 5

Drupal используется везде и проверен и профессиональн.Любой может внедрить уязвимости безопасности, если он будет стараться изо всех сил, поэтому убедитесь, что вы не делаете глупостей.