Запрос сброса пароля Drupal 7 показывает содержимое электронной почты в браузере
Я использую сайт Drupal 7.41 на PHP версии 5.2.17. Я запросил сброс пароля, и после обычного сообщения «Дополнительные инструкции были отправлены на ваш адрес электронной почты», я получил длинное сообщение типа отладки, которое начинается
2015-10-29 12:24:13 Соединение: открытие до 127.0.0.1:25, t = 10, opt = array () 2015-10-29 12:24:13 Соединение: открытие 2015-10-29 12:24 : 13 SMTP -> get_lines (): $ data was "" 2015-10-29 12:24:13 SMTP -> get_lines (): $ str is ...
и заканчивается
SMTP -> get_lines (): $ data was "" 2015-10-29 12:24:13 SMTP -> get_lines (): $ str равно "250 Reset OK" 2015-10-29 12:24:13 SMTP -> get_lines (): $ data равно «250 Reset OK» 2015-10-29 12:24:13 SERVER -> CLIENT: 250 Reset OK
В середине всего этого фактически отображается ссылка для сброса пароля — так что любой, кто запрашивает сброс пароля, может просто перейти по этой ссылке и войти прямо.
Что я сделал, чтобы сделать мой сайт таким небезопасным?
Решение
Вот что я сделал, чтобы решить эту проблему:
1) Проверено / admin / reports / status на наличие проблем.
2) Проверено, что / admin / config / development / logging имеет «Сообщения об ошибках для отображения», установленное в None.
3) Проверено, что у меня не работает ни один модуль для разработки.
4) Установлено https://www.drupal.org/project/security_review и следовал его рекомендациям.
5) Понял, что я установил https://www.drupal.org/project/phpmailer отправлять электронные письма …
6) Проверил конфигурацию phpmailer по адресу / admin / config / system / phpmailer и обнаружил, что в разделе «Расширенные настройки SMTP» для параметра «Уровень отладки» установлено значение «Полная связь». Пнул себя за то, что я такой идиот, и изменил его на «Отключено».
Задача решена.
Другие решения
Других решений пока нет …