Наиболее безопасные методы оплаты на Друпал сайтах

Аватар пользователя alexo alexo 30 августа в 11:25

Здравствуйте!
Какие дополнительные настройки безопасности вы считаете нужным делать при добавлении платежей через агрегаторы на сайте?

Комментарии

Аватар пользователя bsyomov bsyomov 31 августа в 20:07
1

Безопасность это не какие-то настройки, это постоянная работа.

Основной рецепт таков: Квалифицированные разработчики, квалифицированный системный администратор, который будет следить за сервером, а не просто один раз его настроит(что хорошо, но не достаточно), своевременные обновления и ядра/модулей и серверного ПО.
За сайтом надо постоянно следить и обслуживать его.

Дополнительно:
Возможно, имеет смысл использовать перед сайтом какой-нибудь Cloudflare c настроенным WAF(там есть профиль для drupal) или поднять и настроить WAF на сервере.

Secure Login - совершенно бесполезный модуль, если у вас есть https(а как не быть ему),у вас должен быть и так редирект на https, всех запросов, а не только формы логина.

Security Kit, Content-Security-Policy не то, чтобы совершенно бесполезны, но эти заголовки устанавливаются в правильном конфиге веб сервера, и тогда они не нужны фактически.

Security Review проверяет ну совсем очевидные вещи только. Если, у вас адекватный разработчик, вам тоже не нужен. А если нет, то от плохого кода/подхода к разработке не поможет ничего.

Аватар пользователя alexo alexo 1 сентября в 19:23

Спасибо большое. Я наверное переформулирую точнее, что именно в первую очередь имеется ввиду.

Тему нужно было бы скорее озаглавить: "Наиболее безопасные методы оплаты на Друпал сайтах" или "Скрытые риски при платежах через аггрегаторы".

Т.е. речь идет о настройках, чтобы исключить ввод важной информации через сайт.

Например я хочу, чтобы на сайте вообще не было никаких данных о картах пользователей.

Достаточно ли для этого подключения аггрегатора платежей (например Робокассы) с перенаправлением за пределы сайта перед платежом как единственного способа оплаты?