Drupals cron.php absichern

Um Drupals cron.php vor unberechtigtem Zugriff zu schützen, tragen wir in /etc/apache2/conf.d/drupal.conf noch die folgende Passage ein:

<Files cron.php>
Order deny,allow
Deny from all
Allow from 10.10.10.0/24
Allow from 127.0.0.1
Allow from 1.2.3.4
</Files>

In der ersten Allow-Direktive wird per CIDR-Notation der Zugriff vom kompletten VPN gewährt.
In der zweiten wird der Zugriff von localhost aus erlaubt.
Entscheidend ist aber, daß die IP-Adresse des Server(die 3.te Direktive) gelistet ist, von hier wird cron.php per Cronjob aufgerufen,

Damit unsere /etc/apache2/conf.d/drupal.conf wirksam wird, muß der Webserver auch hier die Konfiguration neu einlesen:

/etc/init.d/apache2 reload
Sinn? Nenn mich doof aber mir erschließt sich nicht, wo das Sicherheitsproblem sein soll, wenn die cron.php offen erreichbar ist? Wegen der Performance? Mehr fällt mir aber auch nicht ein. Grüße, Frank Submitted by frank (nicht überprüft) on Sa, 2009-01-17 22:59.