電子商務安全清單

Question

我使用基於LAMP的網站，特別是Drupal，並想知道是否有人知道一個好的安全清單，以幫助審計新的和現有的商業網站的安全漏洞？

乾杯。

Answer 1

Web應用程序安全的最佳資源無疑是OWASP Top 10。 OWASP是一家致力於改善Web應用程序安全性的非營利性，技術不可知的組織。他們製作了一份標題爲「十種最重要的Web應用程序安全風險」的文檔，該文檔非常易於使用，並應涵蓋您需要了解的電子商務應用程序的每個角度。

我建議仔細閱讀每個前10名（PDF版本非常方便 - 每頁1個風險），理解風險和影響，然後確保您知道如何在PHP中適當地緩解此問題。祝你好運！

Answer 2

數據庫日誌行限制（管理/設置/記錄/ DBLOG）

我已經找到了1000的默認行限制可能會快速合併，讓你無需重要的調試信息，當你最需要它。平均行長一般在1kB左右，所以即使將這個行增加到100,000行仍然會給你一個可管理的看門狗表。

用戶註冊設置（管理員/用戶/設置）

訪問者的默認值可以創建帳戶，也沒有要求管理員批准很容易被忽略，並且不希望的常。

禁用devel的模塊管理/建設/模塊

不僅devel的本身，而是其他其他公用設施（如僞裝，跟蹤，或編碼器）可能已經安裝，你就不需要在生產現場。如果啓用額外的模塊，可能會阻礙網站的性能，甚至會在配置錯誤時創建安全漏洞。

設置維護主題（settings.php中）

默認情況下，Drupal的網站離線頁面使用的是Minnelli的主題。切換這是一個很好的增強功能，以防萬一您需要使用維護模式，或者在不幸的事件中發生意外停機。在大多數情況下，您的網站的主題將正常工作;只需添加$ conf ['maintenance_theme'] ='mytheme';到settings.php。您可能還需要爲您的主題添加maintenance-page.tpl.php;如果你正在使用Zen，這已經爲你完成了。

確認電子郵件設置

通常情況下，佔位的電子郵件地址會在開發過程中填寫，並在部署之前應更新。儘可能從一開始就嘗試從正確的地址開始，但有時候在項目生命的後期纔會有這些信息。除了Drupal的全球site_mail之外，地址可以存儲在各種地方：admin用戶的帳戶，聯繫表單，webforms，ubercart，觸發器或CiviCRM設置。

對於禪宗的用戶 - 禁用註冊表主題重建（管理/建設/主題）

如果您在使用禪開發你的主題，不要忘了關掉重建的每個頁面上的主題註冊表。這是一個巨大的性能損失。

錯誤報告（管理/設置/錯誤報告）

在生產現場，最好通過選擇錯誤寫入日誌以抑制屏幕上的錯誤報告。

性能設置（管理/設置/性能）

表現最好的設置取決於您的網站。此外，不要徹底測試您網站的功能，不要在最後時刻更改緩存設置。理想情況下，我喜歡通過項目最終確定大約2/3的緩存設置，以便開發和測試的最後階段使用與生產匹配的緩存設置執行。

重定向去往/來自的 'www。*'（htaccess的）

Drupal的.htaccess文件包含表示如何從example.com重定向到www.example.com或反之亦然的示例重寫規則。如果您的網站使用SSL，則強制使用單個域名是非常重要的，即使使用普通HTTP，我也喜歡單個URL的一致性。 此外，由於RewriteCond聲明特定於特定主機，因此可以將多個域添加到相同的.htaccess文件中，用於多站點安裝或多個測試/生產主機名。

檢查代理設置

如果您的生產服務器使用代理或負載平衡器，Drupal的需要一些額外的配置，準確記錄遠程IP地址。這會影響錯誤日誌記錄和一些模塊，如Mollom。

$ conf ['reverse_proxy'] = TRUE; $ conf ['reverse_proxy_addresses'] = array（ '10.10.20.100'， '10.10.30.100'， ）;