PROSAGA码农传奇-安全审计-电子商务安全检查表

<div class =“post-text”itemprop =“text”>
  
    的
      数据库记录行限制
    </强>
     （管理/设置/记录/ DBLOG）
  
  
    我发现默认行限制为1000可以快速包装，在您最需要的时候不用重要的调试信息。平均行长度通常约为1kB，因此即使将其增加到100,000行仍然会为您提供可管理的监视程序表。
  
  
    的
      用户注册设置
    </强>
     （管理员/用户/设置）
  
  
    访问者的默认值可以创建帐户，并且不需要管理员批准，这很容易被忽视，而且往往是不受欢迎的。
  
  
    的
      禁用devel模块
    </强>
     管理/建设/模块
  
  
    不仅要开发自己，还可能已经安装了生产站点上不需要的其他实用程序（例如伪装，跟踪或编码器）。启用额外的模块可能会影响您网站的性能，甚至在配置错误时也会产生安全漏洞。
  
  
    的
      设置维护主题
    </强>
     （的settings.php）
  
  
    默认情况下，Drupal的站点离线页面使用Minnelli主题。切换这是一个很好的增强，如果您需要使用维护模式，或在不幸的事件中遇到意外停机。在大多数情况下，您网站的主题将正常运作;只需添加$ conf ['maintenance_theme'] ='mytheme';到settings.php。您可能还需要在主题中添加maintenance-page.tpl.php;如果你正在使用Zen，那已经为你完成了。
  
  
    的
      确认电子邮件设置
    </强>
  
  
    通常，占位符电子邮件地址将在开发期间填写，并应在部署之前进行更新。我尽可能从一开始就尝试使用正确的地址，但有时在项目生命的后期才会提供此信息。除了Drupal的全球site_mail之外，地址还可以存储在各种位置：管理员用户的帐户，联系表单，webforms，ubercart，触发器或CiviCRM设置。
  
  
    的
      对于Zen用户 C禁用主题注册表重建
    </强>
     （管理/编译/主题）
  
  
    如果您使用Zen开发主题，请不要忘记在每个页面上关闭Rebuild主题注册表。这是一个巨大的性能损失。
  
  
    的
      错误报告
    </强>
     （管理/设置/错误报告）
  
  
    在生产站点上，最好通过选择“将错误写入日志”来抑制屏幕上的错误报告。
  
  
    的
      性能设置
    </强>
     （管理/设置/性能）
  
  
    最佳性能设置取决于您的网站。此外，如果不彻底测试您网站的功能，请不要在最后时刻更改缓存设置。理想情况下，我喜欢在项目的大约2/3的时间内完成缓存设置，因此开发和测试的最后阶段将使用与生产相匹配的缓存设置来执行。
  
  
    的
      重定向到/从
    </强>
     'www。*'（。htaccess）
  
  
    Drupal的.htaccess文件包含一个示例RewriteRule，显示如何从example.com重定向到www.example.com，反之亦然。如果您的站点使用SSL，则执行单个域名是必不可少的，即使使用普通HTTP，我也喜欢单个URL的一致性。
此外，由于RewriteCond声明特定于特定主机，因此您可以将多个域添加到同一.htaccess文件中，以用于多站点安装或多个测试/生产主机名。
  
  
    的
      检查代理设置
    </强>
  
  
    如果您的生产服务器使用代理或负载均衡器，Drupal需要一些额外的配置来准确记录远程IP。这会影响错误记录和一些模块，如Mollom。
  
  
    $ conf ['reverse_proxy'] = TRUE;
$ conf ['reverse_proxy_addresses'] = array（
  '10 .10.20.100' ，
  '10 .10.30.100' ，
）;
  
</DIV>