Предупреждения Security Review

Главные вкладки

Аватар пользователя vortex vortex 28 ноября 2013 в 13:34

Поставил [module=security_review]. Теперь сражаюсь с результатами.
Многие претензии понимаю (типа js в body), но некоторые для меня не понятны и не очевидны.

1. Private files is enabled but the specified directory is not secure outside the web server root.
Куда эту папку выбросить? сейчас на хостинге идет /www/имя_сайта/sites/и т.д.
И куда её? в корень? в www? или можно все таки оставить в друпале?
2. Some files and directories in your install are writable by the server.
Сейчас разрешения на папки стоят 750, на файлы 644. Кроме files.
Модуль предлагает на папки поставить 644.
Если я выставлю такие разрешения, смогу ли и дальше ставить/удалять модули и перенастраиввать drupal?

Комментарии

Аватар пользователя alexo alexo 4 марта 2015 в 16:59

в первом пункте написано, что директория не безопасна вне корня корня веб сервера (outside the web server root) вроде?
т.е. по идее в корень тогда получается?
здесь об этом (но автор пишет, что нужно помещать не в корень на сервере, а вне корневой папки сайта). Предлагает помещать в ../private :
"можем и не защитить таким образом файл от скачивания без дополнительных настроек веб-сервера. Поэтому правильнее помещать защищенную папку вне корневой директории сайта. Для этого в поле «Приватный путь файловой системы» вводим не sites/default/files/private , а ../private. "
(http://sergeybelyaev.name/blog/rabota-s-privatnymi-faylami-v-drupal#stha...)

и здесь
https://www.drupal.org/documentation/modules/file
(Сейчас пробую, пока ничего не могу сказать. Кто что скажет?)