[Php] Контрольный список безопасности электронной торговли


Answers

Ограничение строки ведения журнала базы данных (admin / settings / logging / dblog)

Я обнаружил, что предел по умолчанию, равный 1000, может быстро упасть, оставив без важной информации отладки, когда вам это нужно больше всего. Средняя длина строки обычно составляет около 1 КБ, поэтому даже повышение до 100 000 строк по-прежнему будет иметь управляемую таблицу сторожевого таймера.

Настройки регистрации пользователя (admin / user / settings)

Значение по умолчанию для посетителей может создавать учетные записи и не требуется одобрение администратора, легко упускается из вида и часто нежелательно.

Отключить модули devel admin / build / modules

Не только развиваться, но и другие другие утилиты (такие как маскарад, трассировка или кодер), возможно, были установлены, которые вам не понадобятся на производственной площадке. Если вы отключите дополнительные модули, это может помешать работе вашего сайта или даже создать уязвимости безопасности при неправильной настройке.

Задайте тему обслуживания (settings.php)

По умолчанию на странице сайта сайта Drupal используется тема Minnelli. Переключение это приятное улучшение, если вам когда-либо понадобится использовать режим обслуживания, или в неудачном случае вы испытываете незапланированные простои. В большинстве случаев тема вашего сайта будет работать нормально; просто добавьте $ conf ['maintenance_theme'] = 'mytheme'; к settings.php. Вам также может потребоваться добавить на свою тему техобслуживание-page.tpl.php; если вы используете Zen, это уже сделано для вас.

Подтвердите настройки электронной почты

Зачастую адреса электронной почты-заполнители заполняются во время разработки и должны обновляться до развертывания. Я стараюсь начинать с правильных адресов с самого начала, когда это возможно, но иногда у вас нет этой информации дольше в жизни проекта. В дополнение к глобальному адресу сайта site_mail Drupal адреса могут храниться в разных местах: учетная запись администратора, контактные формы, веб-формы, ubercart, триггеры или настройки CiviCRM.

Для пользователей Zen - отключить восстановление реестра тем (admin / build / themes)

Если вы разработали свою тему с помощью Zen, не забудьте отключить реестр темы Rebuild на каждой странице. Это огромный штраф за исполнение.

Сообщение об ошибках (admin / settings / error-reporting)

На производственной площадке лучше всего подавлять отчеты об ошибках на экране, выбирая ошибки записи в журнал.

Настройки производительности (admin / settings / performance)

Наилучшие настройки производительности зависят от вашего сайта. Кроме того, не изменяйте настройки кеша в последний момент без тщательного тестирования возможностей вашего сайта. В идеале я хотел бы завершить настройку кеша примерно на 2/3 пути через проект, чтобы конечные этапы разработки и тестирования выполнялись с настройками кеша, которые будут соответствовать производительности.

Перенаправление в / из 'www. *' (.htaccess)

Файл .htaccess от Drupal содержит пример RewriteRule, показывающий, как перенаправить с example.com на www.example.com или наоборот. Обеспечение единственного имени домена важно, если ваш сайт использует SSL, и даже с простым HTTP мне нравится согласованность одного URL-адреса. Кроме того, поскольку объявление RewriteCond относится к определенному хосту, вы можете добавить несколько доменов в один и тот же файл .htaccess, либо для установки на нескольких сайтах, либо для нескольких имен хостов тестирования / производства.

Проверка настроек прокси-сервера

Если ваш производственный сервер использует прокси-сервер или балансировщик нагрузки, Drupal нуждается в дополнительной настройке для точной записи удаленных IP-адресов. Это влияет на регистрацию ошибок и некоторые модули, такие как Mollom.

$ conf ['reverse_proxy'] = TRUE; $ conf ['reverse_proxy_addresses'] = array ('10 .10.20.100 ', '10 .10.30.100',);

Question

Я работаю с веб-сайтами на основе LAMP, в частности с Drupal, и задавался вопросом, знает ли кто-нибудь о хорошем контрольном списке безопасности, который помогает проверять новые и существующие сайты торговли для уязвимостей безопасности?

Приветствия.