Tips de seguridad en Drupal

We encourage users to post events happening in the community to the community events group on https://www.drupal.org.
dmouse's picture
Posted by dmouse on April 18, 2012 at 10:47pm

Algunos tips de seguridad en Drupal, que opinan algún otro?
http://dmouse.net/blog/5-tips-de-seguridad-en-drupal

Categories: , ,

Comments

Secure-configuration

Posted by gnuget on April 18, 2012 at 11:02pm
gnuget's picture

También hay algunos tips en la pagina de Drupal.

http://drupal.org/security/secure-configuration

hook_menu_alter()

Posted by jedihe on April 18, 2012 at 11:23pm
jedihe's picture

Para cambiar el acceso a /user yo no lo haría en preprocess_page(), sino mediante hook_menu_alter(), haciendo uso apropiado del sistema de permisos. Tengo entendido que hacer esa clase de trucos en preprocess_page() es una mala práctica.

jedihe algo así? function

Posted by dmouse on April 18, 2012 at 11:47pm
dmouse's picture

jedihe algo así?

function hook_menu_alter(&$items) {
$items['user']['access callback'] = FALSE;
}

gracias por el feedback

dmouse: <?phpfunction

Posted by jedihe on April 19, 2012 at 12:10am
jedihe's picture

dmouse:

<?php
function MIMODULO_menu_alter(&$items) {
  $items['user']['access callback'] = user_access('mi permiso especial');
}
?>

Si se pone a FALSE, queda bloqueado para todo el mundo (creo que hasta para user/1).

Dale una mirada a la definición de hook_menu() en el módulo user, ahí ves el permiso que se usa para controlar quien puede visitar esa ruta.

Esta clase de tareas se hacen súper fácil con módulos utilitarios de desarrollo, en este caso específico a veces uso Menu Wizard.

No tengo mucho fe en numero 1

Posted by greggles on April 19, 2012 at 12:51am
greggles's picture

No tengo mucho fe en numero 1 (que esta alla dos veces?).

Escribí este articulo sobre la tema: http://drupalscout.com/knowledge-base/hiding-fact-your-site-runs-drupal-... Es más dificil ocultar Drupal que asegurarlo de verdad.

knaddison blog | Morris Animal Foundation

Yo no creo que se trate de

Posted by dmouse on April 19, 2012 at 5:57am
dmouse's picture

Yo no creo que se trate de esconder Drupal, sino más bien que se sepa que versión tienes.
Yo sé que el sitio x corre Drupal 7 pero no sé que es la versión 7.11 que tiene un bug de access bypass que para empezar no hay un exploit entonces lo tendría que hacer y pues como no se la versión tendría que probar para el 7.11 el 7.10 o el 7.9 etc... esa es mi idea de proteger la versión que claro lo ideal es que se tenga todo actualizado.

Igual, el js y css de Drupal

Posted by greggles on April 19, 2012 at 11:59am
greggles's picture

Igual, el js y css de Drupal identifique el versión.

knaddison blog | Morris Animal Foundation

Spanish

Group organizers

Group events

Add to calendar

Group notifications

This group offers an RSS feed. Or subscribe to these personalized, sitewide feeds: