Back to top

Drupalsnack 33: Säkerhet i Drupal och i allmänhet

Sändningsdatum: 
2014-06-15
Vi pratar om säkerhet i Drupal och i allmänhet. Adam saknas denna gång men Kristoffer och Fredrik djupdyker i säkerhet, zsh, Ansible m. m. Drupalsnack har nu sommaruppehåll till slutet av augusti eller så.

Länkar till moduler, webbplatser och tjänster vi pratade om i detta avsnitt:

Kod och Drupal

  • Håll core och moduler uppdaterade.
  • dev-moduler vara eller inte vara
  • Se till så att alla patchar dokumenteras och helst pushas i issue kön
  • Många moduler ger mer kod som kan ha buggar, större ”attackyta”.
  • Modulen Hacked
  • https://drupal.org/writing-secure-code
  • Drupal filtrerar på ”output”.
  • check_plain(), filter_xss(), t()
  • Använd alltid FormAPI och inte egen rå SQL
  • Använd placeholders i databasfrågor.
  • Inloggade sessioner över SSL.
  • Roller och test användare
  • Låt alla användare ha egna konton så det går att se vem som gjort vad.
  • Ha inte databaslösenord etc. i versionshanteringen
  • Lösenordsskydda utvecklingssiter så att google inte indexerar de
  • site:drupalcamp.se -site:spring2014.drupalcamp.se
  • Kör sanitize (drush) för att inte sprida användares lösenord och e-postadresser i onödan.

Server och oDrupal saker

  • Hur sparas backup och säkerhetskopior
  • Server/Apache/Drupal versioner
  • php.ini, se till att ni inte kör med developer inställningar.
  • MySQL bind-address = 127.0.0.1
  • Kontroll av DNS/Mail/3rd part tjänster
  • Övervakning av maskin och tjänster
  • Vilka har tillgång till servern?
  • Kontrollera loggar
  • Långa och unika lösenord

Visitors Voice

Eftersnack