Аудит сайта 101

1. Как выполнить аудит сайта Drupal При работе в компании Drupal время от времени появляется проект,...
2. Статический анализ кода
3. Обзор кода

Как выполнить аудит сайта Drupal

При работе в компании Drupal время от времени появляется проект, который был построен другой компанией, скорее всего, без какой-либо документации или информации о ее структуре и архитектуре. Первое, что нужно сделать, когда проект захвата земли приземлится на вашу тарелку, - провести полный аудит, чтобы ознакомиться с ним и выявить все потенциальные проблемы. В этом посте мы расскажем о некоторых инструментах, которые мы используем в Dropsolid для наших аудитов.

Мы обычно проводим аудит сайта на основе следующих трех аспектов, каждый из которых будет подробно описан:

• Структура сайта
• Статический анализ кода
• Обзор кода

Структура сайта

доступность

Тестирование доступности означает проверку возможности использования сайта людьми с ограниченными возможностями, которые используют специализированные инструменты, такие как программы чтения с экрана. Чтобы проверить это, мы используем ВОЛНА онлайн-сервис , Вы просто вводите URL страницы, которую хотите проанализировать, и WAVE выделит все элементы, которые требуют вашего внимания.

Наиболее важные ошибки, которые нужно исправить:

• Отсутствуют альтернативные тексты для ссылок и изображений
• Ярлыки элементов формы
• Смежные идентичные ссылки. (например, изображение продукта и заголовок, которые ссылаются на одну и ту же страницу, в то время как они должны быть одной ссылкой)

Даже если доступность не является вашим главным приоритетом, правильная структура сайта наверняка принесет вам несколько SEO-бонусов.

Архитектура

Проанализируйте и задокументируйте структуру своего сайта и задайте себе несколько вопросов: это простой или мультисайтовый сайт, является ли архитектура последовательной, хранится ли в коде конфигурация, сколько модулей используется, автоматически ли отключается dblog при работе, информация о подключении к вашей базе данных вне документа, правильно ли настроен кэш и т. д.

Это много вещей для анализа, но, к счастью, есть модуль для этого !

Познакомиться Модуль аудита сайта , Он создаст для вас отчет с полной информацией в соответствии с приоритетом.

• Лучшие практики - структурные рекомендации
• Блок - кеширование
• Cache - оптимальные настройки кеширования Drupal
• Codebase - размер сайта; размер и количество управляемых файлов
• Контент - проверяет наличие неиспользуемых типов контента, словарей
• Cron - встроенный Cron Drupal
• База данных - сопоставление, механизм, количество строк и размер
• Расширения - количество, модули разработки, дубликаты, отсутствующие
• Insights - Анализ сайта с помощью Google PageSpeed ​​Insights
• Безопасность - проверка на наличие распространенных уязвимостей, таких как вредоносные пункты меню маршрутизатора
• Статус - проверка на наличие сбоев во встроенном отчете о статусе Drupal
• Пользователи - заблокированный пользователь № 1, количество обычных и заблокированных пользователей, список ролей
• Представления - настройки кеширования
• Watchdog - количество ошибок 404, возраст, количество записей, включено, ошибки PHP

кэш

Помимо информации, предоставленной Site Audit, вы можете получить обзор конфигурации кэширования, установив Кэш Аудит модуль. Он сгенерирует отчет с конфигурацией кеша каждого блока, вида, панели и т. Д.

База данных

Хорошей идеей может быть также мониторинг размера базы данных: например, таблица cache_form из нескольких гигабайт может быть сигналом предупреждения для основной проблемы, связанной с срок действия кэша , Вы также можете проверить размер таблицы ревизий. Если они слишком большие, механизм очистки может быть полезен.

Позже, делая обзор кода, попытайтесь определить, является ли конфигурация индексов оптимальной.
Вы также можете установить схема модуль и проверьте, знает ли Drupal обо всех таблицах, присутствующих в базе данных.

Спектакль

Чтобы отслеживать эффективность веб-сайта с точки зрения конечного пользователя, постарайтесь получить наиболее просматриваемые страницы сайта - если у вас настроена Google Analytics, вы можете получить их оттуда - или страницы, наиболее важные для вашего веб-сайта. , Получив этот список, отправьте его в следующие службы:

• Мобильный дружественный тест это сервис Google, который запускает несколько тестов на вашей странице, чтобы проверить, подходит ли ваш сайт для мобильных устройств
• PageSpeed ​​Insights (также при поддержке Google) собирается проанализировать вашу страницу и предоставить рекомендации по ее ускорению. Основной совет, как правило, заключается в сжатии изображений, минимизации сценария и изменении порядка отображения страницы, чтобы первая часть была отрисована выше.
• Webpagetest.org это инструмент, который анализирует производительность рендеринга страницы с использованием нескольких показателей: время отправки первого байта данных, степень сжатия, общее время загрузки страницы, сжатие изображений и т. д. Он также позволяет моделировать использование различных полос пропускания. Сгенерированные отчеты предоставят вам полную информацию о производительности вашего сайта. Посмотреть результаты для Drupal.org Вот

• Дот-инструменты , онлайн-инструмент, который дает вам время отклика вашего сайта из разных мест по всему миру. В зависимости от результатов, вы можете рассмотреть возможность использования CDN.

Безопасность

Сообщество Drupal создало множество модулей для проверки безопасности вашего сайта, и есть несколько других вещей, которые вы можете сделать самостоятельно:

• Обзор безопасности это модуль, который будет запускать различные проверки безопасности (полный список см. на странице проекта)
• Взломан! очень полезный инструмент, чтобы узнать, какие модули были изменены или исправлены
• Контролируйте все ваши маршруты доступа к обратному вызову, чтобы убедиться, что нет нарушения.
• Убедитесь, что ваши модули все еще поддерживаются (предоставляется модулем аудита сайта)
• Просмотрите свой код для потенциальных SQL-инъекций
• Проверьте экран разрешений на наличие скрытых ролей администратора. На взломанном сайте могут быть добавлены новые роли.
• Убедитесь, что у вас включен HTTPS на страницах, где пользователи могут вводить личную информацию.

Также очень важно отслеживать все модули, которые были недавно исправлены, и знать, какие исправления были применены (и, если они все еще актуальны, они могли быть зафиксированы в проекте). Возможно, вы захотите добавить их в свой composer.json или сделать файл, чтобы легко применить их повторно при обновлении своего сайта.

Проверьте список пользователей на сайте. Пользователи с правами администратора, которые не вошли в систему более года, должны быть отключены.

Статический анализ кода

PHP Code Sniffer

PHP Code Sniffer это автоматизированный инструмент, который будет анализировать кодовую базу и сообщать обо всех нарушениях стандартов кодирования в соответствии с определенными предопределенными наборами правил. Drupal предлагает стандарты кодирования за этим должны следовать все разработчики Drupal. Мы проводим тесты с тремя наборами подтестов. Во-первых, Drupal, который будет гарантировать, что мы соблюдаем стандарты кодирования (например, отступ, интервал, длина строки, правильная документация и т. Д.). Затем мы запускаем тест DrupalPractice, который проверяет соответствие стандартам имени класса, неиспользуемых переменных, вызовов отсутствующих переводов ... Мы также запускаем набор тестов DrupalSecure, который может обнаруживать основные нарушения безопасности.

Вы можете найти все варианты конфигурации Вот ,

PHP Mess Detector

PHP Mess Detector это автоматизированный инструмент, который будет анализировать код. В основном он будет искать слишком сложный код (например, рекурсию, внедрение, сложные циклы и т. Д.). Не все предупреждения актуальны, так как нет предопределенного оптимизированного для Drupal набора, и мы все знаем, что Drupal имеет свои Drupalisms, но есть некоторые комментарии, которые стоит принять во внимание, чтобы упростить код.

Обзор кода

Для этого последнего аспекта основным инструментом, который вы должны использовать, является ваш мозг! Независимо от того, насколько далеко вы продвинулись в области автоматизации, все же есть вещи, которые может открыть только человеческий глаз.

Тем не менее, вот несколько вещей для расследования:

• Сколько там пользовательских модулей? Не могли бы вы объединить некоторые из них?
• Правильно ли используются API? Была ли применена концепция ООП?
• Есть ли дублирующий код? Если да, можно ли это учитывать?
• Являются ли они проблемами безопасности (например, потенциальные инъекции SQL)?
• Все запросы к базе данных написаны безопасным способом?
• Является ли код эффективным и оптимизированным? Нет entity_load / entity_view / entity_delete ... в циклах foreach?
• Правильно ли кэшированы пользовательские блоки?
• Правильно ли определены индексы в пользовательских таблицах?
• Следуют ли drupal_access_denied () и drupal_not_found () за drupal_exit () ?
• Все определенные маршруты защищены разрешением или обратным вызовом доступа?
• То же самое для потенциальных интерфейсов REST?
• Правильно ли документированы функции?

И последнее: такие отчеты могут запутаться, в зависимости от сайта проекта. Поэтому вместо того, чтобы использовать документ Google Doc или Word, вы должны попробовать что-то вроде Gitbook :

Вы можете найти пример документации Вот ,

Я надеюсь, что этот пост был полезен для описания правильного способа проведения аудита Drupal! Как всегда, пожалуйста, свяжитесь, если вы хотите узнать больше об услугах и Обучение Drupal ,