電子商務安全清單

Question

我使用基於 LAMP 的 web 站點，尤其是 Drupal，並且想知道是否有人知道一個好的安全檢查表來幫助審核新的和現有的商業站點的安全漏洞？

干杯。

Answer 1

web 應用安全的最佳資源無疑是OWASP Top 10 。 OWASP 是一個不以營利為目的、與技術無關的組織，致力於提高 web 應用程序的安全性。 他們制作了一份名為“最關鍵的 web 應用程序安全風險的十個”的文檔，該文檔非常容易使用，並且應該涵蓋您需要了解電子商務應用程序的每個角度。

我建議仔細閱讀前 10 名中的每一個（PDF 版本非常方便 - 每頁 1 個風險），了解風險和影響，然后確保您知道如何在 PHP 中適當地減輕這種情況。 祝你好運！

Answer 2

數據庫日志記錄行限制(admin/settings/logging/dblog)

我發現默認的 1000 行限制可以快速換行，在您最需要的時候讓您沒有重要的調試信息。 平均行長度通常在 1kB 左右，因此即使將其增加到 100,000 行，仍然會給您留下一個易於管理的看門狗表。

用戶注冊設置（管理員/用戶/設置）

訪客可以創建帳戶且無需管理員批准的默認值很容易被忽略，並且通常是不受歡迎的。

禁用開發模塊admin/build/modules

不僅是 devel 本身，而且可能已經安裝了您在生產站點上不需要的其他實用程序（例如 masquerade、trace 或 coder）。 啟用額外的模塊可能會影響您網站的性能，如果配置錯誤，甚至會造成安全漏洞。

設置維護主題（settings.php）

默認情況下，Drupal 的站點離線頁面使用 Minnelli 主題。 切換這是一個很好的增強功能，以防您需要使用維護模式，或者在您遇到計划外停機的不幸事件中。 在大多數情況下，您網站的主題可以正常工作； 只需添加 $conf['maintenance_theme'] = 'mytheme'; 到 settings.php。 您可能還需要在您的主題中添加maintenance-page.tpl.php； 如果您正在使用 Zen，這已經為您完成了。

確認 email 設置

通常，占位符 email 地址將在開發過程中填寫，並應在部署前更新。 如果可能，我會嘗試從一開始就從正確的地址開始，但有時您直到項目生命的后期才擁有這些信息。 除了 Drupal 的全局 site_mail 之外，地址還可以存儲在各種地方：管理員用戶的帳戶、聯系人 forms、網絡表單、ubercart、觸發器或 CiviCRM 設置。

對於 Zen 用戶 – 禁用主題注冊表重建(admin/build/themes)

如果您使用 Zen 開發主題，請不要忘記在每個頁面上關閉 Rebuild theme registry。 這是一個巨大的性能損失。

錯誤報告（管理員/設置/錯誤報告）

在生產站點上，最好通過選擇將錯誤寫入日志來抑制屏幕錯誤報告。

性能設置（管理員/設置/性能）

最佳性能設置取決於您的站點。 此外，在未徹底測試您網站的功能之前，請勿在最后一刻更改緩存設置。 理想情況下，我喜歡在項目完成的 2/3 左右完成緩存設置，以便使用與生產相匹配的緩存設置來執行開發和測試的最后階段。

重定向到/從“www.*”（.htaccess）

Drupal 的 .htaccess 文件包含一個示例 RewriteRule 顯示如何從 example.com 重定向到 www.example.com 或反之亦然。 如果您的站點使用 SSL，則強制執行單個域名是必不可少的，即使使用普通的 HTTP，我也喜歡單個 URL 的一致性。 此外，由於 RewriteCond 聲明特定於特定主機，您可以將多個域添加到同一個 .htaccess 文件，用於多站點安裝或多個測試/生產主機名。

檢查代理設置

如果您的生產服務器使用代理或負載平衡器，Drupal 需要一些額外的配置來准確記錄遠程 IP。 這會影響錯誤日志記錄和某些模塊，例如 Mollom。

$conf['reverse_proxy'] = 真； $conf['reverse_proxy_addresses'] = array('10.10.20.100', '10.10.30.100', );