Drupal - Site-Sicherheit
In diesem Kapitel erfahren Sie, wie Sie die Drupal-Site sichern. In diesem Kapitel werden Vorschläge zur Sicherheitskonfiguration für Site-Administratoren aufgeführt und der Administrator darüber informiert, wie die Site gesichert werden soll.
Es gibt viele Module, die Ihnen bei der Sicherheitskonfiguration helfen Security Review Das Modul automatisiert das Testen der Fehler, die Ihre Site unsicher machen.
Sie können ein Sicherheitsproblem direkt mit melden Drupal core, contrib oder Drupal.orgindem Sie eine E-Mail bezüglich des Problems senden. Das Sicherheitsteam hilft Ihnen bei der Lösung Ihres Problems mithilfe des Projektbetreuers.
Sichern Sie Ihre Dateiberechtigungen und Ihren Besitz durch configuringdas Server-Dateisystem, da der Webserver (z. B. Apache) keinen Zugriff zum Bearbeiten oder Schreiben der Dateien haben sollte. Es sollten schreibgeschützte Dateien sein, die später ausgeführt werden.
Die Sicherheitsrisikostufen basieren auf dem NIST Common Misuse Scoring System (NISTIR 7864) , sodass die Organisation überprüfen kann, wie das Problem behandelt werden soll. Im Folgenden finden Sie die Punkte, die Ihnen helfen, das Sicherheitsrisiko zu verstehen, indem Sie die Zahl zwischen 0 und 25 zuweisen.
0 to 4 - Nicht kritisch.
5 to 9 - Weniger kritisch.
10 to 14 - Mäßig kritisch.
15 to 19 - Kritisch
20 to 25 - Sehr kritisch.
Während die PCI (Payment Card Industry) vertrauliche Informationen wie Kreditkartennummern akzeptiert, definiert sie eine Reihe von Datensicherheitsstandards . Obwohl dies nicht Drupal-spezifisch ist, ist es wichtig, dass sich jeder Drupal-Entwickler dessen bewusst ist. Weitere Informationen zu PCI-Problemen finden Sie unter diesem Link. Whitepaper zur Drupal-PCI-Konformität .
Die Benutzer dürfen gelöscht werden oder sich selbst auf der Drupal-Site löschen, was manchmal zu einer unerwarteten Situation führen kann.
Aktivieren HTTPSDies ist sicherer, um vertrauliche Informationen an eine Website wie z
Kreditkarten
Sensible Cookies wie PHP-Sitzungscookies
Passwörter und Benutzernamen
Identifizierbare Informationen (Sozialversicherungsnummer, staatliche ID-Nummer usw.)
Vertraulicher Inhalt
Erhöhen Sie Ihre Sicherheit mit Contributed modules. Einige Standardmodulkategorien sind -
Sicherheitskategorie
Benutzerzugriff / Authentifizierung
Spam-Verhinderungsmodule
Sie können die Rollen und Berechtigungen des Benutzers deaktivieren, indem Sie das installieren Secure Permission Modul.
Der Sicherheitsvorgang kann im Anmeldevorgang durch Installieren von verbessert werden Login Security Modul.
Der Site-Administrator kann seine Site sichern, indem er sie privat macht und die Site auf einen eingeschränkten Zugriff für die Benutzer durch die Rolle beschränkt. Aufgrund dieses Prozesses ist Ihre Website für Suchmaschinen und andere Crawler nicht erreichbar (um einen Datenindex in www zu erstellen).