Think in Drupal

原文：

https://blog.csdn.net/mycwq/article/details/9719407

客户的Drupal网站运行在windows下面，为了给其加固，采取了一些措施，具体参看这篇文章。

本来抱着试一下的心态，将自己的微信小程序，转成了百度小程序。

刚开始听说百度小程序，就过来注册，然后就提示需要注册的邀请码，可是我没有，我按照提示，给对应的邮箱写了一份邮件。等了一星期都没有回复，大约两星期的时间，给了我一个邀请码。幸运的女神降临了。我花了一个周末的时间，将微信小程序转成了百度智能小程序。通过实践，明白了两者之间的不同和相同之处。

小程序上线审核的时候，发现竟然有内部的人在看我的小程序，当然是百度内部的人了，还有人分享了。实际就是开始的审核人员分享了一下，后续的用户分享的人数很少。正式上线以后，每天其实也就我自己点点自己的小程序，没有一点流量。我在小程序的自己查找小程序页面的搜索功能里面，只能搜索"亚艾元象棋谱"才能搜索到自己。谁会找到我呢？我后来发现，搜索“”象棋谱“也能找到我的小程序。但是谁会搜索象棋谱呢？ 搜索象棋、象棋棋谱都找不到。

我有点失望，有一天我在想，我把名字从亚艾元象棋谱改为“亚艾元象棋棋谱”，会不会在小程序搜索页面找到自己呢？我决定试一下，就改了名字，当时改名字不需要审核的。改完以后就生效了。 结果还是搜索不到。搜索“象棋”象棋棋谱“都不行。自然搜索搜不到，小程序的搜索再搜索不到。还顶个屁用。

有很多https的证书提供商，不过价格都不低，作为一个个人网站，或者节约型的公司，可以考虑使用Let's Encrypt certificates，

 每次认证3个月的有效期，需要手动的重新认证。

 Let's Encrypt配置起来，相对比较麻烦，不过certbot简化了这些配置

 我用的是nginx，对应配置文档：

 https://certbot.eff.org/lets-encrypt/centosrhel7-nginx

 下面的这个步骤是可选的：

$ yum -y install yum-utils

$ yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

安装certbot先：

$ sudo yum install python2-certbot-nginx

运行：

Drupal创始人，在Drupal欧洲大会上，讲了Drupal9的大致发布时间。经过社区激烈的讨论，Drupal9的发布日期将会在2020年，距今一年多的时间发布。Drupal9发布以后，2021年11月，Drupal8结束维护。Drupal7的维护期延长到2021年11月，过后，同时将会有商业的维护支持。

Drupal8的短命，这将会是一个不争的事实。毫无疑问，Drupal8自问世以来，并未在市场上取得成功，来自替代技术的压力，Drupal社区的分裂。向新技术转换的阵痛。

以前，Drupal核心开发者webchick曾发文说，Drupal9最早也是2021年的事了，现在往前提了整整一年。Drupal核心人员终于达成一致。乐观一点，明年的这个时候，Drupal9的alpha版本就会出现。

下面的问题，是客户接受上级单位安全检查，所涉及的问题，应该具有很高的代表性。经过上级检查，Drupal的安全性得到了高度的认可。

1，有无登录失败次数限制，

有，6次封IP

2，用户在线有效时长，越短越好

可以在settings.php里面配置

3，一个账号同时只能有一个人在线。

session_limit，可以配置限制次数。限制为1，自动踢出旧有登陆

4，搜索框，有过滤么

有。

5，恶意文件防护

自带防护PHP可执行文件的上传。

6，网站日志：

apache有日志， 网站本身有日志。

7，同时在线用户数，500？

8，密码强度

https://www.drupal.org/project/password_policy

9，windows 文件夹共享默认打开了， net share