1. Главная
  2. Форумы
  3. Техподдержка Drupal
  4. Безопасность

Вопрос по безопасности Drupal

Главные вкладки

Аватар пользователя -NIK- -NIK- 23 июня 2013 в 19:51

Здравствуйте, наткнулся тут на статью одного блогера, который советует удалять некоторые файлы из корневой папки ядра drupal после установки, аргументируя это опасной уязвимостью которой могут воспользоваться злоумышленники, подскажите так ли это?

Цитата блогера:
«Удалите и всегда удаляйте файлы из корня сайта: CHANGELOG.txt, COPYRIGHT.txt, INSTALL.txt, LICENSE.txt, MAINTAINERS.txt, README.txt — это самая первая дыра в безопасности сайта. На основе данных файлов можно определить версию системы, соответственно зная версию и её дыры, будет очень легко взломать сайт.»

Комментарии

Аватар пользователя drupby drupby 23 июня 2013 в 20:06

а в оффициальной документации написано
"Some administrators suggest making the documentation files, especially
CHANGELOG.txt, non-readable so that the exact version of Drupal you are
running is slightly more difficult to determine. If you wish to implement
this optional security measure, from a Unix/Linux command line you can use
the following command:

chmod a-r CHANGELOG.txt

Note that the example only affects CHANGELOG.txt. To completely hide all
documentation files from public view, repeat this command for each of the
Drupal documentation files in the installation directory, substituting the
name of each file for CHANGELOG.txt in the example."

Аватар пользователя -NIK- -NIK- 27 июня 2013 в 1:18

"RxB" wrote:
Ещё рекомендую удалять гарланд в шестёрке и bartik в семёрке.
Иногда даже index.php переименовывать приходится

Так следует ли удалять эти файлы?
И с чего бы это стандартная тема bartik могла бы повлиять на производительность?

Аватар пользователя xSPiRiTx xSPiRiTx 30 июня 2013 в 15:30

"-NIK-" wrote:
Здравствуйте, наткнулся тут на статью одного блогера, который советует удалять некоторые файлы из корневой папки ядра drupal после установки, аргументируя это опасной уязвимостью которой могут воспользоваться злоумышленники, подскажите так ли это?
Цитата блогера:
«Удалите и всегда удаляйте файлы из корня сайта: CHANGELOG.txt, COPYRIGHT.txt, INSTALL.txt, LICENSE.txt, MAINTAINERS.txt, README.txt — это самая первая дыра в безопасности сайта. На основе данных файлов можно определить версию системы, соответственно зная версию и её дыры, будет очень легко взломать сайт.»

это?
http://niklan.net/blog/21

я тоже эти файлы удаляю, мне они там не нужны
а почему и зачем в цитате написано

"-NIK-" wrote:
И с чего бы это стандартная тема bartik могла бы повлиять на производительность?

он шутит!

Аватар пользователя -NIK- -NIK- 30 июня 2013 в 18:44

"xSPiRiTx" wrote:
это?
http://niklan.net/blog/21
я тоже эти файлы удаляю, мне они там не нужны
а почему и зачем в цитате написано

Да, там я и прочитал, просто странно что нигде я больше не слышал что нужно удалять эти файлы и они как то могут влиять на безопасность, ну зачем тогда эти файлы там находятся, для чего то же они нужны?

Аватар пользователя xSPiRiTx xSPiRiTx 30 июня 2013 в 19:17

пля, ну до какой степени нужно не понимать или не читать???!!!
Очевидно же, что благодаря этим файлам можно узнать что у тебя за движок и какой версии. Для непонятливых блогер написал
"На основе данных файлов можно определить версию системы, соответственно зная версию и её дыры, будет очень легко взломать сайт"
А находятся эти файлы для тебя, чтобы ты видел какая у тебя версия и что было изменено в ней. Так же лицензия и авторы.

Аватар пользователя leo7 leo7 22 апреля 2015 в 18:07

"xSPiRiTx" wrote:
можно определить версию системы

в метатегах видно
может вообще весь друпал удалять? что б версию не определили...

Аватар пользователя dashiwa dashiwa 22 апреля 2015 в 19:15

Помню один такой сайт на доработку,параноидальные требования по безовасности. И html форма без фильтров, с прямым запросом в базу..в одном из шаблонов..Так что все нужно в целом оценивать