Безопасность

Вопросы защиты скриптов и системного окружения, объявления о найденных уязвимостях и security-релизах Drupal.
Новости команды безопасности Drupal: drupal.org/security
См. также: bugtrack.ru, securitylab.ru.

icon: 

YelenaD Сб, 27/05/2017 - 07:16

Безопасность системы

какими способами обеспечивается безопасность системы на сервере?
Как реализована система безопасности, при помощи каких программ или чего-то еще??
скиньте пожалуйста ссылки где про это можно поискать информацию
С помощью чего данная система безопасна, при передачи сообщений к примеру
Находила информацию только как обеспечить безопасность, но не о способах созданных на друпале
Почему система друпал наиболее безопасна

Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

ttenz Чт, 11/05/2017 - 03:42

Как проверить взломан ли сайт на Друпале и как это исправить

С каждым владельцем сайта хоть раз происходит очень неприятная вещь: его сайт кто-то взломал. Об этом можно узнать по разным признакам: появились непонятные страницы с кучей рекламы, пришло предупреждение из Гугла, Яндекса о том, что Ваш сайт взломан, сайт еле-еле грузится и так далее, одним словом с сайтом "что-то не так".

Итак, приступим:

Тип материала: 
5 Спасибо

ttenz Пнд, 08/05/2017 - 04:58

Конец Mollom

Будьте бдительны!

Со 2 апреля 2018 года Acquia прекращает работу анти-спам сервиса Mollom.

Альтернатива:  reCAPTCHA и  Honeypot.

Источник: https://www.mollom.com/eol

Модули и темы: 
Ключевые слова: 
0 Спасибо

Van'Denis Ср, 19/04/2017 - 20:35

Выпущен Drupal 8.3.1

Настоятельно рекомендуется обновить!!!
В данной версии устранена критическая уязвимость.

й

Краткое описание. Критическая уязвимость DRUPAL-SA-CORE-2017-002 позволяет обходить права доступа. Возможна при следующих условиях:

Версия Drupal: 
1 Спасибо

portfolio Вс, 09/04/2017 - 08:35

Google Search Console стала ругаться на только созданный сайт с Drupal 8

Здравствуйте!

Подскажите пожалуйста где искать проблему. Создал новый сайт на Drupal 8 и зарегистрировал его для индексации в Google
На сайте всего 2 новых страницы, а сам Drupal 8 скачан с официального сайта.

Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

Studio VIZA Вс, 09/04/2017 - 04:59

Ваш сайт на Drupal взломали. Что делать?

Подробная инструкция: Что делать, если Ваш сайт на Друпале взломали.
Эта информация предназначена всем владельцам сайтов на друпала, что бы вы избежали паники и знали как поступить в подобной ситуации.
 Если Ваш сайт на Drupal взломали - пожалуйста, сообщите об этом (желательно подробно) в команду безопасности security@drupal.org. Команда безопасности не в состоянии помочь с отдельными сайтами, но предоставленная вами информация поможет проанализировать и исправить возможные недостатки в друпале, что в дальнейшем поможет сделать друпал более надёжным. Вся предоставленная информация будет проанализированна и поэтому желательно знать конкретные примеры взломанных сайтов, т.к. взлом сайтов на друпал - редкость

Тип материала: 
Ключевые слова: 
1 Спасибо

Igumenus Вс, 26/03/2017 - 05:57

Взломали 2 сайта на Drupal 7 (sedoparking.com)

Хочу предупредить и сказать как решить проблему. Заметил случайно, пропал скролл в браузере под залогененным админом, прокрутить страницу вообще не вариант. Еще увеличились шрифты в админке.
Вчера взломали 2 сайта на Drupal 7.43 и вшили в конец кода такую галиматью:

Тип материала: 
Ключевые слова: 
Версия Drupal: 
1 Спасибо

Mike123 Чт, 23/03/2017 - 10:27

Безопасность д-7

Доброго дня!

Постоянно сталкиваюсь в взломами сайта. Ломают пароли, регистрируются как админы и дестабилизируют работу сайта. Возможно это боты-робаты, так как делают это постоянно. Рег под админом № 1, я не могу войти на свой сайт.

Как бороться с этим злом?

Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

tlito Сб, 04/03/2017 - 10:53

Скрипты от mitchellkrogza - Nginx Ultimate Bad Bot Blocker. Зачем там whitelist?

https://github.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker
скрипты блокируют спам-ботов на уровне сервера, которые создают нагрузку на сервер nginx.
зачем там белый список, в котором ip 127.0.0.1 ? стоит ли доверять такому скрипту?
https://raw.githubusercontent.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker/master/bots.d/whitelist-ips.conf

Тип материала: 
0 Спасибо

IRONFELIX Пт, 03/02/2017 - 06:54

404_fast_path для некоторой борьбы с ботами

Пересматривал журнал друпал сайта и вижу ошибки перехода по адресам "страница не найдена" типа "wp-login.php". Боты подбирают логин/пароль и ищут известные им уязвимости различных CMS, в том числе от вордпресс. Беспокоиться конечно не стоит, но меня такой лог стал раздражать. Решил порубить это дело на корню. Для этого в файле конфигурации друпала settings.php немного модифицировал строчку $conf[404_fast_path]. Она отвечает за быструю отправку на 404 страницу недопустимых обращений.

Тип материала: 
Ключевые слова: 
Версия Drupal: 
3 Спасибо

Studio VIZA Втр, 31/01/2017 - 01:39

Новая малварь-кампания: пользователям Chrome стоит опасаться сообщений «шрифт не найден»

Специалисты компании Proofpoint предостерегают пользователей Windows и браузера Chrome: хакеры придумали новый трюк и теперь маскируют свои атаки под загрузку дополнительного пакета шрифтов.

Тип материала: 
2 Спасибо

tlito Ср, 21/12/2016 - 23:25

Хром 56 принуждает перейти на HTTPS. Где дают бесплатные SSL-сертификаты?

В январе 2017 выйдет версия Хром 56, в которой пользователи будут предупреждаться о незащищенном соединении HTTP на сайтах, где есть ввод пароля или кредитки.
Собственно, где можно получить SSL сертификат? И как перевести сайт на Drupal 7, 8 на протокол HTTPS? Нужно ли будет переконфигурировать сервер VPS?

Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

bad4iz Пт, 25/11/2016 - 13:44

[Решен] Как включить отображение страницы во фрейме для яндекс метрики

Здравствуйте
возникла проблема при подключении яндекс метрики
все работает кроме карт ( карта ссылок, карта кликов, карта скроллинга ...).
вот что пишет

Невозможно воспроизвести посещение на данной странице. Возможные причины:
Не установлен код счётчика
Установлен запрет на отображение страницы во фрейме

так как код счетчика установлен 100%
нашел что надо добавить в настройки сервера исключение для домена webvisor.com

Тип материала: 
Версия Drupal: 
0 Спасибо

ScorpionGhost Пт, 25/11/2016 - 06:49

Взлом сайта. Публикация спамных комментариев минуя одобрение

Здравствуйте, подскажите, пожалуйста, кто сталкивался с подобным?
С одного и того же IP, размещаются спамные комментарии от незарегистрированных пользователей, автоматически “проходят одобрение” и сразу становятся видимыми как пользователям, так и поисковым системам. Комментарии от других анонимов с других IP – ждут проверки и одобрения.
Где искать? Никаких левых пользователей с административными правами не выявлено. Ядро и модули обновлены.

Указывает на Санкт-Петербург:
46.161.9.31
46.161.9.32

Тип материала: 
Версия Drupal: 
0 Спасибо

sergeybelya Чт, 17/11/2016 - 13:44

Очередные дыры Друпала

В ядре Друпала с завидным постоянством продолжают находить дыры в безопасности, обновляйтесь:
https://www.drupal.org/blog/drupal-823-and-752-released

0 Спасибо

VasyOK Втр, 15/11/2016 - 17:40

Как определить взломали сайт или (виртуальный) сервер? Возможно ли взломав сайт на Drupal поменять права и владельца директории сайта?

У друга старый сайт на D6. Честно сайт не мой, был бы мой, это был бы мин D7 и хост Патруль.
Пришло письмо от Яндекса, что сайт заражен. В корне сайта обнаружился файлик links816456.php (в атаче к посту). Хотел его удалить - не получилось. Смотрю по SFTP владелец папки сайта, не тот что должен быть. Маякнули на хостинг "левого" владельца убрали.

Вопрос: как определить взломали сайт или (виртуальный) сервер?
Возможно ли взломав сайт на Drupal поменять права и владельца директории, в которую этот сайт положен?

Тип материала: 
Версия Drupal: 
0 Спасибо

alex-litvinov Чт, 03/11/2016 - 20:42

[РЕШЕНО] Не получается обновить перевод

Тема конечно изъезжена, но правильного решения я так и не нашел.

Ошибка такого типа:

Тип материала: 
Версия Drupal: 
0 Спасибо

Страницы