4
私はLAMPベースのウェブサイト、特にDrupalで作業しています。誰かがセキュリティ上の脆弱性のために新規または既存の商用サイトを監査するのに役立つ良いセキュリティチェックリストを知っていたのでしょうか?電子商取引のセキュリティチェックリスト
乾杯。
A
答えて
2
ウェブアプリケーションのセキュリティに最適なリソースは間違いなくOWASP Top 10です。 OWASPは、Webアプリケーションのセキュリティを向上させることを目的とした非営利団体で、テクノロジーにとらわれない組織です。彼らは非常に簡単に消耗し、電子商取引アプリケーションのために理解しなければならない各角度をカバーするべきである "最も重要な10のWebアプリケーションセキュリティリスク"と題する文書を作成します。
トップ10を慎重に読むこと(PDF版は1ページあたり1リスク)を念頭に置いて、リスクと影響を理解し、PHPでこれを適切に軽減する方法を確認することをお勧めします。がんばろう!
1
データベースのログ行の制限(管理/設定/ログ/ dblogを)
私は1000のデフォルト行の制限は、あなたがそれを最も必要なときに重要なデバッグ情報なしであなたを残し、すぐにラップすることができます発見しました。平均的な行の長さは一般的に約1kBです。したがって、これを100,000行に増やしても、管理可能なウォッチドッグ・テーブルが残っています。
ユーザー登録設定(管理者/ユーザー/設定)
訪問者のデフォルト値は、アカウントを作成することができますし、何の管理者の承認は必要ありません簡単に見過ごされ、しばしば望ましくありません。
を無効のdevelモジュール管理/構築/モジュール
だけでなくdevelのそのものではなく、(そのような仮面舞踏会、トレース、またはコーダなど)他の他のユーティリティを使用すると、生産に必要ではないだろうとインストールされている可能性がありサイト。余分なモジュールを有効にしておくと、サイトのパフォーマンスが低下したり、誤って構成されているとセキュリティ上の脆弱性が生じる可能性があります。デフォルトのDrupalのサイトオフラインページではメンテナンステーマ(のsettings.php)
を設定
はミネリのテーマを使用しています。これを切り替えることは、メンテナンスモードを使用する必要がある場合や、予期しないダウンタイムが発生する不都合なイベントでは、すばらしい拡張です。ほとんどの場合、サイトのテーマは正常に動作します。 $ conf ['maintenance_theme'] = 'mytheme'を追加するだけです。 settings.phpに。テーマにmaintenance-page.tpl.phpを追加する必要があるかもしれません。あなたが禅を使用しているなら、これはすでにあなたのために行われています。
の確認メール設定
は多くの場合、プレースホルダの電子メールアドレスは、開発中に入力されますと、展開の前に更新する必要があります。可能であれば、最初から正しいアドレスから始めようとしていますが、プロジェクトの後半になるまでこの情報がないことがあります。 Drupalのグローバルsite_mailに加えて、管理者のアカウント、連絡フォーム、Webフォーム、ユーバーカート、トリガー、CiviCRMの設定など、さまざまな場所にアドレスを保存することができます。禅のユーザーの場合
-(管理/構築/テーマ)を再構築テーマレジストリを無効
あなたが禅を使用して、あなたのテーマを開発した場合は、すべてのページのテーマレジストリを再構築オフにすることを忘れないでください。これは大きなパフォーマンス上のペナルティです。
エラー報告(管理/設定/エラー報告)本番サイトで
、それはログに書き込みエラーを選択することによって、画面上のエラー報告を抑止するのが最善です。
パフォーマンス設定(管理/設定/パフォーマンス)
最高のパフォーマンス設定は、サイトによって異なります。また、サイトの機能を徹底的にテストせずにキャッシュ設定を変更しないでください。理想的には、プロジェクトの2/3程度のキャッシュ設定を確定して、開発とテストの最終段階を生産に合うキャッシュ設定で実行することが理想的です。/からの
リダイレクト 'WWW。*'(.htaccessファイル)
のDrupalの.htaccessファイルは、www.example.comにexample.comからリダイレクトする方法を示す例示のRewriteRuleまたはその逆を含んでいます。サイトでSSLを使用している場合は、単一のドメイン名を使用することが不可欠です。プレーンなHTTPでも、単一のURLの一貫性が好きです。 さらに、RewriteCond宣言は特定のホストに固有のものなので、マルチサイトインストールまたは複数のテスト/プロダクションホスト名に対して複数のドメインを同じ.htaccessファイルに追加できます。
チェックプロキシ設定
本番サーバがプロキシまたはロードバランサを使用している場合は、Drupalは正確にリモートIPアドレスを記録するために、いくつかの追加の設定が必要です。これは、エラーログとMollomなどの一部のモジュールに影響します。
$ conf ['reverse_proxy'] = TRUE; $ conf ['reverse_proxy_addresses'] =配列( '10 .10.20.100 '、 '10 .10.30.100'、 );
関連する問題
- 1. Google電子商取引用ホットケーキの電子商取引用スクリプト
- 2. スーパーサイズスライダー+ Wp電子商取引
- 3. Googleタグマネージャと先進電子商取引 - 取引商品
- 4. 非電子商取引のウェブサイトのMagento?
- 5. Googleアナリティクスの電子商取引のトラッキング
- 6. アップルの電子商取引アプリケーションのカット
- 7. Javaのオープンソースの電子商取引ソリューション
- 8. 電子商取引プラットフォームのアイテムのカスタマイズ
- 9. ギフトカードの電子商取引の拡張
- 10. Google電子商取引の追跡
- 11. 電子商取引のテスト方法
- 12. ソナタの電子商取引バンドルをインストール
- 13. 電子商取引サイトのUMLアクティビティ図
- 14. ソナタの電子商取引リストエラー
- 15. WP電子商取引プラグイン(メンバーシップあり)
- 16. wp電子商取引グループカテゴリ別製品
- 17. フレキシブルな電子商取引とソーシャルネットワーキングソリューション
- 18. 電子商取引ショッピングカートTシャツビルダー
- 19. 電子商取引追加チェックアウトステップ
- 20. ASP.net電子商取引カタログGridview
- 21. 多言語電子商取引ウェブサイト
- 22. NetSuite重複登録電子商取引
- 23. scipio電子商取引で商品を追加するには?
- 24. モデルの電子商取引のウェブサイトのチェックアウト
- 25. Googleアナリティクスへのサーバーサイドの電子商取引のプッシュ
- 26. ストレージエンジン:電子商取引サイトのカート管理のためのメモリ
- 27. 電子商取引アプリケーションでのSOA/EDAの使用
- 28. 電子商取引のお客様のクレジットデポジットとお支払い
- 29. 電子商取引ウェブサイトのSOLRの検索クエリを書くベストプラクティス
- 30. 電子商取引アプリケーションのDjangoユーザーモデルの拡張
http://programmers.stackexchange.com/questions/46716/what-should-a-developer-know-before-building-a-public-web-siteこれは良いスタートになるはずです。 – Jacob