Mais conteúdo relacionado Semelhante a Drupalサイトをセキュアに運用するには(入門編) (20) Mais de Yoshikazu Aoyama (7) Drupalサイトをセキュアに運用するには(入門編)12. Enabling HTTP Secure (HTTPS)
● https://drupal.org/https-information
○ デフォルトでは平文でフォームのpost内容が飛ぶ
■ ユーザー名、パスワード、メールアドレス、etc
○ secure pages で以下のURLはhttpsに
■ node/add*, node/*/edit, node/*/delete
■ user, user/*
■ admin, admin/*
■ webformやform apiを使うページのURL
13. ログインの制限
● Login Security
○ Limit the number of invalid login attempts before
blocking accounts.
○ or denying access by IP address, temporarily or
permanently
22. Writing secure code
● https://drupal.org/documentation/is-drupal-secure
○ セキュリティ・ホールの90%以上は、drupal core
ではなく自サイト向けにカスタマイズしたコードが
原因
● https://drupal.org/writing-secure-code
○ coder モジュールを使うとエスケープやサニタイズ、
プレースホルダの利用などが適切に行われているか
チェックできる
24. 周辺要素のセキュリティ
● Server
● OS
● Database
● Web Server
● PHP
● Drupal
● OSのパッケージ更新
● mysql, apacheなどのアクセ
ス制御
● iptablesなどによるパケット
フィルタ
● Zabbix/Negiosなどによるパ
フォーマンス監視
● etc..