Вы здесь

Как можно обезопасить сайт?

1

В последние несколько дней на почту админа приходят письма с запросом на сброс пароля. Сначала был только admin пользователь, теперь еще user и manager появились. У меня одного так или это какую-то дыру нашли в семерке?

Есть какие-нибудь меры предосторожности в такой ситуации? Пароли на почте и учетках все сменил.

Версия Drupal: 
7.x
Вопрос задан 31.01.2018 - 15:30

Ответы

2

Если сильно напрягают, то можно временно "отключить" восстановление пароля модулем https://www.drupal.org/project/noreqnewpass либо решения из https://www.drupal.org/project/drupal/issues/2939720
Вот обсуждение на форуме d.org https://www.drupal.org/forum/general/general-discussion/2018-01-26/drupa...

Ответ дан 31.01.2018 - 16:37
Аватар пользователя drupby
drupby
456

Блин, доступность списка пользователей через автокомплит это чето какая-то дырень :/

Так автокомплит доступен только юзерам с permission "access user profiles" (по сути на большинстве сайтов достаточно зарегистрироваться и авторизоваться) и будет доступ к json объекту (limit 10) пользователей http://dru.io/user/autocomplete/dru https://drupal.ru/user/autocomplete/dru.
Аноним может только подбирать имя пользователя через форму /user/password

Комментарий оставлен 01.02.2018 - 13:22

Ну так все равно имхо гораздо проще набрать пользователей чем ходить по сайту искать их где-то.

Комментарий оставлен 01.02.2018 - 21:44