Публичный репозиторий для установки Drupal: какие угрозы безопасности?
Я помещаю проект Drupal на сайт с открытым исходным кодом. Какие файлы я не должен размещать там, чтобы не поставить под угрозу безопасность моего сайта?
Различные настройки.php приходит на ум. И, очевидно, сама база данных не будет в хранилище. Что-нибудь еще опасное?
Я использую Drupal 6.
Кроме того, было бы неплохо каким-то образом поставить саму базу данных под контроль версий. Есть идеи, как это сделать?
ОБНОВЛЕНИЕ: Что, если бы я должен был сбросить данные БД, зашифровать их и версию?
2 ответа
Убедитесь, что не отправляете загруженные пользователем файлы. Я не буду загружать ваш дамп, даже если он зашифрован. Я также был бы осторожен с файлами.htaccess.
Зафиксировать файл settings.php было бы наихудшим вариантом из всех, что вы могли бы сделать, попробуйте найти в файлах данные для своего пользователя / пароля mysql, чтобы убедиться, что они не дублируются.
Если Drupal находится под контролем версий, вы можете проверить его с помощью репозитория Drupal, чтобы увидеть, какие файлы изменились. Что-то вроде TortiseSVN делает этот процесс довольно простым.
Я также был бы осторожен с файлами кэша, но, насколько я знаю, в Drupal есть только кэш на основе sql.
Для управления версиями SQL чаще всего используется mysqldump. Другой подход - использование скриптовой стратегии управления версиями с реализацией PHP. Небезопасно выбрасывать cache_* столы Variable стол и, конечно, user Таблица.
Плагины были бы единственной вещью, которую я бы спрятал. Причина в том, что плагины имеют свои собственные дыры в безопасности, и объявление миру, какую версию вы используете, может вас взломать. Сам Drupal довольно безопасен, хотя