Drupal的security_review模块能够自动检测您的Drupal网站的不安全配置并提供修改建议。
以下为此模块的官方说明(谷歌翻译):
轻松开始
它很容易上手。下载并启用模块,只需点击“运行清单”按钮即可查看结果。
特征
安全审查运行以下检查:
安全文件系统权限(防止任意代码执行)
文本格式不允许危险标签(防止XSS)
PHP或Javascript内容(Drupal 7中的节点和注释和字段)
安全错误报告(避免信息泄露)
安全私人文件
只有安全的上传扩充功能
大量的数据库错误(可能是SQLi尝试的迹象)
大量的失败登录(可能是暴力尝试的迹象)
负责Drupal管理员权限(防止访问配置错误)
用户名为密码(防止暴力)
用户电子邮件中包含的密码(避免信息披露)
PHP执行(防止任意代码执行)
基本URL集/ D8受信任的主机(防止某些网络钓鱼尝试)
视图访问控制(防止信息泄露)
此模块不会自动更改您的网站。您应该使用检查清单及其资源的结果来手动保护您的网站。根据您网站的唯一因素,某些检查的结果可能不正确。
请注意,此模块提供的检查不适用于完全安全的网站。安全是一个过程,因此您应该努力通过所有的安全审查检查,并审核您的网站的风险该模块不能检查(见下面的信息,这些服务的一个提供商)。
使用方法:
下载对应版本,在管理页面启用此模块。到/admin/reports/security-review/settings(后台/报告/安全审查/设置)页面可进行相关设置,点击RUN&REVIEW标签页面下方的Run checklist按钮可进行自动检测。之后显示绿色的为安全项,红色带x的为风险项,点击细节可查看详细情况。
