Preguntas etiquetadas con security

Me estoy preparando para implementar un sitio de Drupal 7 y no puedo encontrar ninguna documentación sobre lo que los permisos de directorio y archivo de seguridad recomendados deberían estar configurados. Específicamente default/files/(¿también subdirectorios?) settings.php, .htaccessY cualquier otra cosa que debería tener en cuenta.

145 7  users  security  files 

He visto muchas veces a personas que dicen que no deben usar filtros PHP / PHP personalizados (desde la interfaz de usuario de Drupal) en bloques, nodos, vistas-argumentos, reglas, etc. He buscado un poco y no he encontrado mucho, parece que Esta es una mejor práctica de Drupal que todos …

96 security 

Hay una gran fuga de seguridad en <7.32. Así que quiero actualizar todos mis sitios de Drupal lo antes posible sin preocuparme demasiado por romper cosas. Pero... $ drush dl drupal-7.32 It's forbidden to download drupal core into an existing core. Este funciona: $ drush up Pero eso no es …

52 drush  upgrading  security 

Acabo de actualizar todos mis sitios utilizando el método de parche para resolver el exploit Drupal SA-CORE-2014-005. Acabo de leer informes de que ayer había alguien de una IP rusa que se infiltraba en los sitios de drupal. https://www.drupal.org/SA-CORE-2014-005 Mis principales preocupaciones son ahora: ¿Cómo puedo saber si mis sitios …

40 7  security 

Lectura en https://www.drupal.org/node/2357241 y los detalles técnicos en https://www.drupal.org/SA-CORE-2014-005 , así como el parche real que es simplemente: diff --git a/includes/database/database.inc b/includes/database/database.inc index f78098b..01b6385 100644 --- a/includes/database/database.inc +++ b/includes/database/database.inc @@ -736,7 +736,7 @@ abstract class DatabaseConnection extends PDO { // to expand it out into a comma-delimited set of placeholders. …

33 security 

¿Cuáles son las diferencias entre ['value']y ['safe_value']?

31 7  entities  security 

¿Es check_plain () suficiente para volver a mostrar el texto ingresado por los usuarios en el navegador, o aún debería filtrar con filter_xss () ?

16 security 

He estado leyendo mucho sobre esto y probando muchos de los métodos que he encontrado y aún no he podido hacer que nada funcione correctamente. Quiero poder proteger el área de administración y las páginas de inicio de sesión asociadas. Por lo tanto, cualquier cosa en example.com/admin/* o example.com/user/*, etc., …

15 users  security  ssl 

Estoy usando el método Drupal 7 db_insert , para insertar datos en una tabla personalizada en la base de datos de Drupal. He leído que esta es la forma preferida, sin embargo, he recorrido el código y el doco y no puedo ver ningún lugar que analice los valores o …

15 database  security 

Durante estos últimos días, noté en mi dblog que alguien había estado tratando de escabullirse. La persona trató de encontrar la URL de inicio de sesión (mi sitio web no está abierto para el registro de usuarios), por lo que intentó todo desde my-domain.com/admin, my-domain.com/administrator .. y también my-domain.com/wp- iniciar …

14 security  users 

Después de instalar Drupal, hay archivos en el directorio raíz que debo eliminar. Sé que install.php es uno de esos. ¿Qué otros archivos debo eliminar?

14 7  security  installing 

Hay muchos archivos de plantilla como este views-view-fields--magazine--magazine.tpl.phpen mi sitio web. ¿Cómo y cuándo debo usar filter_xss () y check_plain () para mejorar la seguridad? por ejemplo este es el código: <div> <div class="bf-header bf-article-header"><?php print $fields['title']->content; ?></div> <div class="bf-article-body"><?php print $fields['field_magazine_body']->content;?></div> <div class="bf-article-image"><?php print $fields['field_magazine_image']->content;?></div> </div> <div class="separator article-view-separator"></div> …

11 security 

Al observar el registro del sitio, descubrí que alguien con la dirección IP: 91.236.74.135 está enviando metódicamente solicitudes a la página: / user? Destination = node / add de mi sitio web de Drupal. Lo hace una vez cada hora. Definitivamente es un bot. Creo que está tratando de forzar …

10 security 

Exploit recién lanzado: https://www.drupal.org/sa-core-2018-002 --- Drupal core - Altamente crítico - Ejecución remota de código - SA-CORE-2018-002 ¿Cómo puedo saber si alguien usó este exploit para hackear mi sitio? ¿Qué pueden hacer con este exploit si se ejecutan correctamente? No puedo actualizar mis sitios de Drupal ahora, ¿cuál es una …

9 security  version-control 

Un ataque de fuerza bruta es un intento de obtener acceso no autorizado a un sitio web generando e ingresando continuamente varias combinaciones de una contraseña. Esta tarea generalmente la realiza un software de automatización (un "bot") que busca mensajes de éxito o error y sigue probando nuevas contraseñas hasta …

9 security