保護Drupal？

Question

這是我第一次使用Drupal，我很喜歡它，但是有很多配置需要經過（我喜歡），恐怕我需要啓用/禁用Drupal生產環境。我確實發現在屏幕上打印錯誤是默認啓用的，這就是爲什麼我問是否還有其他東西。

Answer 1

手冊中的Drupal Administration Guide在完成您想要查看的內容方面做了相當不錯的工作。您還需要訂閱Drupal Security mailing list以跟蹤contrib和核心漏洞。

Answer 2

從更實用的角度來看，Drupal是安全開箱即用，但意味着該設置可能不適合您的個人網站。例如，默認帳戶設置是讓訪問您網站的人自己創建帳戶，因此您可能需要禁用該帳戶。

以下是一些您可能要檢查（這些是爲Drupal 7）某些配置設置：

選擇，如果用戶可以建立帳戶等 /管理/配置/人/佔

檢查所有與您相關的權限。明智的默認設置就像匿名用戶可以查看評論和發佈的內容。 /admin/people/permissions

文本格式。這些都有明智的默認值，但檢查確保角色沒有設置爲使用PHP輸入格式（這應該從來沒有在我看來設置）。 /admin/config/content /格式

錯誤記錄。 /管理/配置/開發/日誌

還要檢查你的文件的權限，以確保他們在與drupal.org的建議行 - http://drupal.org/node/244924

值得記住你的網站看作爲一個匿名用戶 - 我知道這聽起來很明顯，但很多人仍然以用戶1的身份登錄，並沒有意識到該網站如何看待其他角色或根本沒有登錄的人。使用其他瀏覽器查看網站，以便您可以保持以一個用戶身份登錄並在另一個瀏覽器中匿名登錄。

如果你將要寫入模塊窺視API的功能類似於filter_xss（）和checkplain（） - http://drupal.org/writing-secure-code

Answer 3

Drupal是默認安全的。

只要確保你的settings.php在文件結構中受到保護。

錯誤消息通常只針對管理員顯示，但如果您願意（在代碼中註釋它們）您可以將它們從非管理主題中刪除。

您可能還想要某種類型的垃圾郵件發送者保護，例如mollom模塊。

並進行定期備份（備份和遷移模塊）。

更多提示：Drupal Ultimate Community Site Guide。