Drupal的security_review模塊能夠自動檢測您的Drupal網站的不安全配置并提供修改建議。
以下為此模塊的官方說明(谷歌翻譯):
輕松開始
它很容易上手。下載并啟用模塊,只需點擊“運行清單”按鈕即??可查看結果。
特征
安全審查運行以下檢查:
安全文件系統權限(防止任意代碼執行)
文本格式不允許危險標簽(防止XSS)
PHP或Javascript內容(Drupal 7中的節點和注釋和字段)
安全錯誤報告(避免信息泄露)
安全私人文件
只有安全的上傳擴充功能
大量的數據庫錯誤(可能是SQLi嘗試的跡象)
大量的失敗登錄(可能是暴力嘗試的跡象)
負責Drupal管理員權限(防止訪問配置錯誤)
用戶名為密碼(防止暴力)
用戶電子郵件中包含的密碼(避免信息披露)
PHP執行(防止任意代碼執行)
基本URL集/ D8受信任的主機(防止某些網絡釣魚嘗試)
視圖訪問控制(防止信息泄露)
此模塊不會自動更改您的網站。您應該使用檢查清單及其資源的結果來手動保護您的網站。根據您網站的唯一因素,某些檢查的結果可能不正確。
請注意,此模塊提供的檢查不適用于完全安全的網站。安全是一個過程,因此您應該努力通過所有的安全審查檢查,并審核您的網站的風險該模塊不能檢查(見下面的信息,這些服務的一個提供商)。
使用方法:
下載對應版本,在管理頁面啟用此模塊。到/admin/reports/security-review/settings(后臺/報告/安全審查/設置)頁面可進行相關設置,點擊RUN&REVIEW標簽頁面下方的Run checklist按鈕可進行自動檢測。之后顯示綠色的為安全項,紅色帶x的為風險項,點擊細節可查看詳細情況。
