php - sri - feparamgettiposconcepto
Lista de verificación de seguridad en el comercio electrónico (2)
Trabajo con sitios web basados en LAMP, particularmente Drupal, y me preguntaba si alguien sabía de una buena lista de verificación de seguridad para ayudar a auditar sitios de comercio nuevos y existentes en busca de vulnerabilidades de seguridad.
Aclamaciones.
El mejor recurso para la seguridad de las aplicaciones web es sin duda el Top 10 de OWASP . OWASP es una organización sin fines de lucro, independiente de la tecnología, dedicada a mejorar la seguridad de las aplicaciones web. Producen un documento titulado "Los diez riesgos de seguridad de aplicaciones web más importantes", que es muy fácil de consumir y debe abarcar cada uno de los ángulos que necesita comprender para una aplicación de comercio electrónico.
Sugiero leer atentamente cada uno de los Top 10 (la versión en PDF es muy útil, 1 riesgo por página), comprender el riesgo y el impacto y luego garantizar que sepan cómo mitigar esto de manera apropiada en PHP. ¡Buena suerte!
Límite de fila de registro de base de datos (admin / settings / logging / dblog)
He encontrado que el límite de fila predeterminado de 1000 puede ajustarse rápidamente, lo dejo sin la información de depuración vital cuando más lo necesita. La longitud promedio de la fila generalmente es de alrededor de 1kB, por lo que incluso aumentarla a 100.000 filas todavía te dejará con una tabla de vigilancia manejable.
Configuración de registro de usuario (admin / usuario / configuración)
El valor predeterminado de Visitantes puede crear cuentas y no se requiere aprobación del administrador. Se pasa por alto fácilmente y, a menudo, no se desea.
Deshabilita los módulos de desarrollo admin / build / modules
No solo se desarrolla, sino que se pueden haber instalado otras utilidades (como enmascaramiento, rastreo o codificador) que no necesitaría en el sitio de producción. Dejar habilitados los módulos adicionales puede dificultar el rendimiento de su sitio o incluso crear vulnerabilidades de seguridad si se configura mal.
Establecer un tema de mantenimiento (settings.php)
Por defecto, la página fuera de línea de Drupal usa el tema de Minnelli. Cambiar esto es una buena mejora, en caso de que alguna vez necesite usar el modo de mantenimiento, o en el desafortunado caso de que experimente un tiempo de inactividad no planificado. En la mayoría de los casos, el tema de su sitio funcionará bien; simplemente agregue $ conf [''maintenance_theme''] = ''mytheme''; a settings.php. También puede necesitar agregar un maintenance-page.tpl.php a su tema; si estás usando Zen esto ya está hecho para ti.
Confirmar la configuración del correo electrónico
A menudo, las direcciones de correo electrónico de marcador de posición se completarán durante el desarrollo y se deberán actualizar antes de la implementación. Intento comenzar con las direcciones correctas desde el principio cuando sea posible, pero a veces no tienes esta información hasta más adelante en la vida del proyecto. Además del sitio_mail global de Drupal, las direcciones se pueden almacenar en una variedad de lugares: la cuenta del usuario administrador, formularios de contacto, formularios web, ubercart, desencadenantes o configuraciones de CiviCRM.
Para los usuarios de Zen: deshabilitar la reconstrucción del registro de temas (admin / build / themes)
Si desarrolló su tema con Zen, no olvide desactivar Reconstruir registro de tema en cada página. Esta es una gran penalización de rendimiento.
Informe de errores (admin / settings / error-reporting)
En un sitio de producción, es mejor suprimir los informes de error en pantalla seleccionando Escribir errores en el registro.
Configuración de rendimiento (admin / configuración / rendimiento)
La mejor configuración de rendimiento depende de su sitio. Además, no cambie la configuración de la memoria caché en el último momento sin probar exhaustivamente las características de su sitio. Idealmente, me gusta finalizar la configuración de caché aproximadamente 2/3 del camino a través de un proyecto, de modo que las etapas finales de desarrollo y prueba se realicen con configuraciones de caché que coincidirán con la producción.
Redirigir a / desde ''www. *'' (.htaccess)
El archivo .htaccess de Drupal contiene un ejemplo RewriteRule que muestra cómo redirigir de example.com a www.example.com o viceversa. La aplicación de un solo nombre de dominio es esencial si su sitio usa SSL, e incluso con HTTP simple, me gusta la consistencia de una sola URL. Además, dado que la declaración RewriteCond es específica de un host en particular, puede agregar varios dominios al mismo archivo .htaccess, ya sea para instalaciones de múltiples sitios o para múltiples nombres de host de prueba / producción.
Verificar la configuración del proxy
Si su servidor de producción usa un proxy o balanceador de carga, Drupal necesita alguna configuración adicional para registrar IP remotas con precisión. Esto afecta el registro de errores y algunos módulos como Mollom.
$ conf [''reverse_proxy''] = TRUE; $ conf [''reverse_proxy_addresses''] = array (''10 .10.20.100 '', ''10 .10.30.100'',);