드루팔 보안 관련 설정 - 회원제 사이트가 아니면 계정 만들기 인터페이스를 보이지 않도록 하자.
드루팔 보안 관련 설정 - 회원제 사이트가 아니면 계정 만들기 인터페이스를 보이지 않도록 하자.
팁은 아니고, 그저 주의하자는 의미에서 기록해 둔다.
(드루팔을 설치해 보신 분들은 거의 다 아는 내용일 듯)
드루팔로 회원제 사이트를 꾸미는 경우에는 해당 사항 없다.
---
스패머들은 교묘하게 드루팔 회원 등록로 봇으로 하는 경우가 있다.
Captcha도 그냥 통과하거나 때로는 늦은 패치 탓에 세션공격 형태의 가입도 있었던 적이 있다.
봇으로 회원 등록을 하면 뭐가 좋은 지는 모르지만,
아무래도 익명보다는 권한이 많아지는 것은 사실이다.
컨텐츠를 작성할 수 있는 경우도 기본 설정에 의해 노출될 수 있다.
그래서 CCK나 노드관련 권한 설정들을 항상 잘 살펴야 하는데...
봇이 아닌 손수 회원가입해서 이것저것 테스트해 보는... 이도 있다.
화면 상에 있지 않는 링크를 입력해 보고, 쓰기 권한과 폼 등에 약점이 없는지 살피는 것으로 판단되면 아무래도 긴장된다.
드루팔은 오픈소스라서 강력한 보안패치가 돼 있는 점과 동시에 누구나 소스를 보는 상태이므로 양날의 검이다!
개인 블로그나 비회원제 사이트로 드루팔은 쓴다면... 굳이 가입 형태를 유지할 필요가 있을까. 댓글은 가입하지 않고도 쓸 수 있는 좋은 방법들이 많고.
그런데 드루팔은 기본 설치후에
회원제 사이트로 운영할 생각이 없는데도, 로그인 블럭에서 회원가입 링크가 보여서 신경쓰인다.
이런 경우에는,
관리 > 사용자 설정에 가면,
가입 방식에 관한 선택항목이 있다.
* 오직 사이트의 관리자만이 새로운 사용자 계정을 만들 수 있습니다.
항목을 선택/저장하면 드루팔의 로그인 블럭에서 새로운 계정 만들기가 사라진다.
물론 신규 계정은 관리자 이외에는 추가할 수 없게 된다.
드루팔 설치시 기본 설정이 메일 확인에 의한 가입이므로,
특별히 회원제 사이트를 고집하지 않는 경우라면
위와 같이 보안에 유리하도록 회원가입 채널을 안보이게 하는 것이 좋겠다.
- Login to post comments
Recent comments
3 years 30 weeks ago
3 years 30 weeks ago
6 years 6 weeks ago
6 years 7 weeks ago
8 years 44 weeks ago
8 years 44 weeks ago
8 years 45 weeks ago
8 years 45 weeks ago
9 years 13 weeks ago
9 years 20 weeks ago