+36 30 355 0880

0-24 Tudástár

Témakörök:



Új ügyfeleknek












Meglévő ügyfeleknek














Önmüködő honlap












Érdekességek











Találj meg minket a Google+-on

Domaint Tippek, Domain ötletek
Egyszerűen kitűnő. Végre egy szolgáltató aki nem csak kullog az igények előtt, hanem minőségi szolgáltatást teremt
Domain Regisztráció
Date published: 10/31/2012
5 / 5 stars

Drupal biztonság




Drupal az egyik legösszetettebb és legbiztonságosabb ingyenes CMS rendszer. Használata sokkal több programozási tudást igényel, mint a többi hasonló CMS rendszeré. Sokkal inkább egy keret rendszer, mint egy önálló honlap.

De pont a népszerűsége miatt az elsődleges támadási felület a Hacekereknek és a Spammereknek is. Kiemelt fontosságú tehát, hogy biztonságos legyen, hiszen ha céges oldalról van szó, akkor a bevételeid függhetnek ettől.

 Ezért kiemelten fontos, hogy ezt a rendszert biztonságossá tegyük saját magunk vagy megköveteljük azt attól a cégtől, aki elvégzi számunkra a honlap készítést.


A drupal fejlesztő cég hivatalos biztonsági ajánlásai:


1

Töröld a használaton kívüli fájlokat és blokkold a hozzáférést a többihez.
Van négy fő fájl, amit csak adminisztratív funkciókat töltenek be, ezért semmi sem indokolja, hogy bárki hozzáférhessen kívülről. Ezek a fájlok: authorize.php, upgrade.php, cron.php és az install.php.

Ezért célszerű a .htaccess fájlban beállítani, hogy csak localhostbol lehessen hozzáférni ezekhez a fájlokhoz. Ehhez egyszerűen csak adjuk hozzá a .htaccess fájlhoz a következő sorokat:

<FilesMatch "(authorize|cron|install|upgrade).php"> Order deny,allow deny from all Allow from 127.0.0.1 </FilesMatch>

Következő lépésként töröljük az összes .txt fájlt a gyökérből, kivéve a robots.txt fájlt, mert erre szüksége van a kereső robotoknak.

web.config fájlt is törölheted, ha nem használod semmire.
xmlrpc.php fájlt is töörlheted, ha nem használsz távoli xml procedúrát.





2

Változtasd meg az UID 1 hozzáférést.
Az első felhasználó, ami létrejön a drupal 7 telepítésekor az UID 1 vagy super user. Ennek a felhasználónak mindenhez joga van és ezt a jogot nem is tudod korlátozni. Ez egy extrém erős és veszélyes hozzáférés.  Próbáld meg ezt csak adminisztratív hozzáférésnek megtartani és hozz létre magadnak egy saját felhasználót. Csak akkor használd a szuper hozzáférést, ha arra igazán szükséged van. A jelszavát pedig a lehető legbonyolultabb karakterekből alkosd meg.



3

Brute Force védelem.
Azok az automata programok, amik megpróbálják kitalálni a jelszót a legelterjedtebbek az Interneten. Muszáj lépéseket tenned annak érdekében, hogy ezeket a támadásokat kivédd. Jó megoldás, ha telepíted a reCAPTCHA (http://drupal.org/project/recaptcha) modult a bejelentkezési oldalra vagy használod a Flood Control (http://drupal.org/project/flood_control) modult, amivel le tudod korlátozni a próbálkozások számát.



4

Ne használd az "admin" felhasználót!
Az esetek 50% -ban ezzel a felhasználónévvel törik fel a Drupal oldalt. A megjelenő felhasználónevet, amúgy is meg tudod változtatni.



5

Rendszeresen frissíts! A bővítményeket is.
Meglepően sokszor történik meg, hogy nem is az alap drupal oldalban van a biztonsági rés, hanem a bővítményekben, amiket feltelepítettél. Érdemes ezek naprakészen tartani és amiket nem használsz, azokat törölni. Előzd meg a bajt! Sose telepíts az éles oldaladba "dev" modult, csak ha 100% biztos vagy a működésében.




6

Sose mentsd el az FTP jelszavad!
Legegyszerűbben úgy fertőzhetik meg vírusokkal a honlapod, hogy a számítógépedről ellopják a honlapod FTP jelszavát. Ez úgy történik, hogy egyszerűen kapsz vagy letöltesz egy fájlt, amihez hozzá van csomagolva egy kis program, amit a vírusírtók sem vesznek észre. A feladata, hogy a mentett FTP jelszavakat összegyűjtse a számítógépedről és elküldje egy távoli gépnek, majd törli magát. A távoli gép pedig az adatokkal belép a tárhelyedre és megfertőzi a honlapod.




7
Php ini beállítása.
A tárhelyed /conf mappájában találod a php.ini fájlt, amivel saját magad tudod állítani a szerver konfigurációját. Ilyen fájlt osztott tárhelyen nem találsz csak a fejlettebb virtual szervereken.
Egyszerűen csak nyisd meg a fájlt egy szövegszerkesztővel és írd bele a következő sorokat és a vastaggal kiemeltet írd át a megfelelőre:

disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_openopen_basedir = /home/users/domain-neved.hu/public_html
magic_quotes_gpc = 1
safe_mode = 0
register_globals = 0
allow_url_fopen = 0

A miértekről itt olvashatsz.




8
Csak biztonságos oldalról telepíts bővítményt!
A Drupal rendszeréhez bárki írhat bármilyen kiegészítőt és ezeket senki sem ellenőrzi. Ezért soha ne telepíts olyat, amiben nem vagy teljesen biztos vagy titkosított a forráskódja.



9
Töröld a nem használt bővítményeket!
Ha kipróbáltál egy bővítményt és mégsem használod, akkor töröld, mert ha nem frissíted folyamatosan, akkor ez lesz az a hátsó kapu, amin keresztül majd bemásznak a Hackerek és a spamek.

Ha már nem használsz egy kiegészítőt, akkor töröld a tárhelyedről.


10
Korlátozd a feltölthető fájl típusokat.
Ne engedj bináris formátumokat feltölteni pl.: .exe, .vbs stb és vigyázz azokkal a formátumokkal is, amibe lehet bináris kódot ágyazni pl.: office dokumentum flash beágyazással.

Továbbá ne engedj olyan fájlokat sem feltölteni, ami hatással van a webszerverre pl.: .php, .phtml, .php3 vagy bármilyen .html



11
Spam védelem.
Sajnos a drupal oldalak is ki vannak téve a spam támadásoknak. Azért, hogy ezeket elkerüld tartsd be az alábbi szabályokat:
-Ne hagyd, hogy email megerősítés nélkül tudjanak regisztrálni a felhasználók
-Használj CAPTCHA rendszert a hozzászólásoknál.
-Az is egy jó módszer, ha csak regisztrált felhasználók szólhatnak hozzá (A CAPTCHA itt is ajánlott)
-Illetve ne engedd, hogy moderáció nélkül ismeretlen hozzászóljon. ('Anonymous user' csoportnak ne legyen 'Skip comment approval' jogosultsága. )



Ezt a 11 lépés elengedhetetlenen a Drupal biztonsága érdekében.
Mindenképpen végezd el vagy végeztesd el azzal, aki a honlapodat elkészíti.

 

Hasznos modul: Security Review

 

Segítség kell?

Biztonsági Fórum: http://drupal.hu/forum

Ha segítség kell a Drupal oldalad biztonságossá tételében vagy a frissítésnél akadsz el, akkor kérd kollégánk segítségét. Korrekt áron elvégezzük helyetted a munkát.

 Ha a jövőben sem kívánsz ezzel foglalkozni és csak egy vevőszerző webáruházra van szükséged, akkor nézd meg az egyedi fejlesztésünket:

Tárhelyhez Honlap: Hidd el a vállalkozásodnak nincs szüksége Honlapra
A vevõidnek viszont IGEN!


Ha találtál valami hasznosat a cikkben, nyomj egy tetszik gombot:

mennyire vagy ügyes domaines?

Kérlek írj egy köszönömöt, ha tetszett!

Csatlakozz a beszélgetéshez!

Mi ez, hova kerültem?

A domainflotta.hu honlap tudásbázisát nézed éppen. Rengeteg leírást és szoftveres segítséget adunk, amivel megnövelheted a forgalmad. Vagy épp megvalósíthatod az ötleted.




domain tárhely regisztráció



Ezeket már olvastad?



Dropbox használata és telepítése

Régóta ismerem ezt a szolgáltatást, azonban csak pár hónap...

Megnézte: 125355 ember
Domain átirányítás = Google büntetés

 Sokan nem tudják, pedig létfontosságú:A Google bünteti a duplikált tartalmakat. Így a...

Megnézte: 25452 ember
Domain átirányítás

Domain nevet csak ip címre vagy dns címekre lehet irányítani. Az ip cím formátuma: 127.0.0....

Megnézte: 24637 ember
Hogyan tudok html kódot beilleszteni az oldalamba?

 Mire jó?Nagyon sok olyan eset van, amikor be kell illeszteni egy html kódot az oldalba. Ez...

Megnézte: 21292 ember
Mysql optimalizálás és honlap gyorsítás

Ebben a cikkben fõleg technikai információkat fogunk megosztani arról, hogy a mysql lekérése...

Megnézte: 20044 ember
Regisztráció tematikus katalógusokba

Linkgyûjtemény | Tematikus Linkek | Link regisztrációA linkgyûjteményekbe és te...

Megnézte: 19258 ember
Mit jelent a Google Barát Tárhelyek kifejezés?

Mi Az a Google Barát Tárhely? Tudni akarod mi a különbség 2 tökéletesen optimalizált honl...

Megnézte: 15770 ember
Márka, cégnév vagy kulcsszavas domain?

Milyen domain nevet válassz? Elsõként mindenkinek a cégneve jut eszébe: Netlight.hu (szerk.: Ne...

Megnézte: 15078 ember
10 Rejtett Link Amit Minden Google Használónak Tudnia Kell

Vannak kérdések, amiket idõnként felteszel, de nem találod rá választ? Hol vannak azok...

Megnézte: 15060 ember
php.ini Beállítása

Php.ini beállításokMinden tárhelyen egyedileg lehet beállítani a php.ini fájlt így bárk...

Megnézte: 14496 ember