В этой главе мы изучим, как обезопасить сайт Drupal. В этой главе описываются предложения по настройке безопасности для администраторов сайта и оповещается администратор о том, как защитить сайт.
Существует множество дополнительных модулей, которые помогут вам с настройкой безопасности, в которой модуль Security Review автоматизирует тестирование ошибок, которые делают ваш сайт небезопасным.
Вы можете сообщить о проблеме безопасности непосредственно с помощью ядра Drupal, contrib или Drupal.org , отправив электронное письмо о проблеме. Команда безопасности поможет решить вашу проблему с помощью сопровождающего проекта.
Защитите свои права доступа к файлам и права собственности, настроив файловую систему сервера, поскольку веб-сервер (например, Apache) не должен иметь доступа для редактирования или записи файлов. Это должны быть только файлы для чтения , которые будут выполнены позже.
Уровни риска безопасности основаны на общей системе оценки злоупотреблений NIST (NISTIR 7864) , так что организация может проверить, как решить проблему. Ниже приведены пункты, которые помогут вам понять уровень риска безопасности, назначив число от 0 до 25 —
От 0 до 4 — не критично.
5 до 9 — менее критично.
10-14 — Умеренно критический.
С 15 до 19 — критический
С 20 по 25 — очень критический.
Принимая конфиденциальную информацию, такую как номер кредитной карты, PCI (индустрия платежных карт) определяет ряд стандартов безопасности данных . Хотя это не специфично для Drupal, важно, чтобы каждый разработчик Drupal знал об этом. Чтобы узнать больше о проблемах PCI, вы можете обратиться по этой ссылке Drupal PCI Compliance White Paper .
Пользователям разрешено удалять или даже самим пользователям удалять себя на сайте Drupal, что иногда может привести к непредвиденной ситуации.
Включите HTTPS , который более безопасен для отправки конфиденциальной информации на веб-сайт, такой как:
Кредитные карты
Чувствительные куки, такие как куки сессии PHP
Пароли и имена пользователей
Идентифицируемая информация (номер социального страхования, идентификационные номера штата и т. Д.)
Конфиденциальный контент
Повысьте свою безопасность, используя предоставленные модули . Некоторые стандартные категории модулей —
Категория безопасности
Доступ пользователя / аутентификация
Модули защиты от спама
Вы можете отключить роли и разрешения пользователя, установив модуль безопасного доступа.
Операция безопасности может быть улучшена при входе в систему путем установки модуля безопасности входа .
Администратор сайта может защитить свой сайт, сделав его закрытым и ограничив сайт ограниченным доступом пользователей по этой роли. Благодаря этому процессу ваш сайт не будет доступен для поисковых систем и других сканеров (для создания индекса данных в www).