Drupalsnack 33: Säkerhet i Drupal och i allmänhet

Vi pratar om säkerhet i Drupal och i allmänhet. Adam saknas denna gång men Kristoffer och Fredrik djupdyker i säkerhet, zsh, Ansible m. m. Drupalsnack har nu sommaruppehåll till slutet av augusti eller så.

Länkar till moduler, webbplatser och tjänster vi pratade om i detta avsnitt:

• Håll core och moduler uppdaterade.
• dev-moduler vara eller inte vara
• Se till så att alla patchar dokumenteras och helst pushas i issue kön
• Många moduler ger mer kod som kan ha buggar, större ”attackyta”.
• Modulen Hacked
• https://drupal.org/writing-secure-code
• Drupal filtrerar på ”output”.
• check_plain(), filter_xss(), t()
• Använd alltid FormAPI och inte egen rå SQL
• Använd placeholders i databasfrågor.
• Inloggade sessioner över SSL.
• Roller och test användare
• Låt alla användare ha egna konton så det går att se vem som gjort vad.
• Ha inte databaslösenord etc. i versionshanteringen
• Lösenordsskydda utvecklingssiter så att google inte indexerar de
• site:drupalcamp.se -site:spring2014.drupalcamp.se
• Kör sanitize (drush) för att inte sprida användares lösenord och e-postadresser i onödan.

• Hur sparas backup och säkerhetskopior
• Server/Apache/Drupal versioner
• php.ini, se till att ni inte kör med developer inställningar.
• MySQL bind-address = 127.0.0.1
• Kontroll av DNS/Mail/3rd part tjänster
• Övervakning av maskin och tjänster
• Vilka har tillgång till servern?
• Kontrollera loggar
• Långa och unika lösenord

• Visitors Voice

• ZSH, Z shell
• Zsh
• https://github.com/myfreeweb/zshuery
• https://github.com/frjo/dotfiles
• Ansible
• Launchpad