跳转到主要内容
一路上有亮 提交于 8 March 2012

原文链接:http://drupal.org/node/244642

 

如果有人攻击你的网站,并能够确定哪些Drupal或特定的模块或主题,你正在使用它可能会使他们更容易利用漏洞的版本信息。

这是不是一个重要的问题。还有其他方法,攻击者可以在确定您的网站信息。 然而,它也是一个很好的做法,给潜在的攻击者尽可能少的信息。如果你是一个偏执的人已经让您的网站上日期和遵循本节中列出的最佳做法,那么本页面的其余部分可能对你有意思。

目录索引的潜在问题

在这将给“紫禁城”的消息,如果用户试图查看目录的。htaccess文件的指令由Drupal的默认核心船舶。例如,如果您访问的网站/ /模块 drupal.org上的目录,你应该得到的“紫禁城”403错误消息。这有助于保护您的网站,因为人们将无法探测您的网站,你正在使用哪些模块的信息。如果您的Web服务器不允许通过。htaccess文件的配置,那么这种保护可能不到位。要弄清楚的。htaccess规则,如果是工作的一个好方法是访问您的网站目录(如http://example.com/sites/),看看你得到的上市文件,或只是一个“紫禁城”的消息。

目录索引问题可能的解决方案

你可以改变你的网络服务器的配置,使这一信息被隐藏 - 无论是在服务器上广泛的基础上或只为你的Drupal安装。

如果你没有配置文件的访问,你也可以简单地把一个空文件,命名为“的index.php”或“index.html”会到您网站上的每个目录。如果处理得当,那么您的网站的访问者会看到一个空白页,而不是目录的内容。

错误日志 - 日志写入错误,而不是在屏幕上

Drupal的管理员选项写日志或日志,并在屏幕上的错误。在发展过程中,它是有用的写错误在屏幕上,所以你可以看到所有的模块或代码中的错误配置错误。然而,在直播现场,这个信息可以被用来攻击者能够更迅速地闯入你的网站。

为生产基地的解决方案是只记录到数据库/日志文件,而不是在屏幕上的错误:

您可以通过浏览到管理>站点配置>错误报告页面。

CHANGELOG.txt,README.TXT和其他

有很多,如其中可能包括版本信息CHANGELOG.txt和Readme.txt安装文件。你可以删除这些文件,但他们往往包含有用的信息。一个更好的解决方案,只需将这些文件外的Web访问安装面积,或简单地将它们重命名。

再次,这是更重要的是审查您的网站的安全配置等方面,而不是担心这个信息披露。