Публичный репозиторий для установки Drupal: какие угрозы безопасности?

Question

Я помещаю проект Drupal на сайт с открытым исходным кодом. Какие файлы я не должен размещать там, чтобы не поставить под угрозу безопасность моего сайта?

Различные настройки. PHP приходит на ум. И, очевидно, сама база данных не будет в хранилище. Что-нибудь еще опасное?

Я использую Drupal 6.

Кроме того, было бы неплохо каким-то образом поставить саму базу данных под контроль версий. Есть идеи, как это сделать?

ОБНОВЛЕНИЕ : Что, если бы я должен был сбросить данные из БД, зашифровать их и версию?

Answer 1

Обязательно не отправляйте Пользовательские загруженные файлы . Я не буду загружать ваш дамп, даже если он зашифрован. Я также был бы осторожен с файлами .htaccess.

Фиксация settings.php была бы наихудшей вещью, которую вы могли бы сделать, вы можете попробовать найти в файлах ваш пароль / пароль пользователя mysql, чтобы убедиться, что он не дублируется.

Если Drupal находится под контролем версий, вы можете просмотреть его с помощью репозитория Drupal, чтобы увидеть, какие файлы изменились. Что-то вроде TortiseSVN делает этот процесс довольно простым.

Я бы тоже был осторожен с файлами кэша, но, насколько мне известно, в Drupal есть только кэш на основе sql.

Для управления версиями SQL чаще всего используется mysqldump. Другой подход заключается в использовании скриптовой стратегии управления версиями с реализацией PHP . Небезопасно создавать дамп любой из таблиц cache_*, таблицы Variable и, конечно, таблицы user.

Answer 2

Плагины были бы единственной вещью, которую я бы спрятал.Причина в том, что плагины имеют свои собственные дыры в безопасности, и объявление миру, какую версию вы используете, может вас взломать.Сам Drupal довольно безопасен, хотя