Drupal-サイトセキュリティ

この章では、Drupalサイトを保護する方法を学習します。この章では、サイト管理者向けのセキュリティ構成の提案を指定し、サイトを保護する方法を管理者に警告します。

セキュリティ構成に役立つ多くの寄稿モジュールがあります。 Security Review モジュールは、サイトを安全でないものにする間違いのテストを自動化します。

  • でセキュリティの問題を直接報告できます Drupal core, contrib または Drupal.org問題に関する電子メールを送信することによって。セキュリティチームは、プロジェクトメンテナの助けを借りて、問題の解決を支援します。

  • 次の方法でファイルのアクセス許可と所有権を保護します configuringWebサーバー(Apacheなど)がファイルを編集または書き込みするためのアクセス権を持ってはならないため、サーバーファイルシステム。後で実行される読み取り専用ファイルである必要があります

  • セキュリティリスクレベルは、NIST Common Misuse Scoring System(NISTIR 7864)に基づいているため、組織は問題の管理方法を確認できます。以下は、0から25までの数字を割り当てることでセキュリティリスクレベルを理解するのに役立つポイントです。

    • 0 to 4 −重要ではありません。

    • 5 to 9 −それほど重要ではありません。

    • 10 to 14 −中程度に重要。

    • 15 to 19 −クリティカル

    • 20 to 25 −非常に重要。

  • PCI(Payment Card Industry)は、クレジットカード番号などの機密情報を受け入れる一方で、いくつかのデータセキュリティ基準を定義しています。これはDrupal固有ではありませんが、各Drupal開発者がこれを認識することが重要です。PCIの問題の詳細については、このリンクDrupalPCIコンプライアンスホワイトペーパーを参照してください。

  • Drupalサイトでは、ユーザーを削除したり、ユーザーが自分自身を削除したりすることが許可されているため、予期しない状況が発生する場合があります。

  • 有効にする HTTPS、次のようなWebサイトに機密情報を送信する方が安全です。

    • クレジットカード

    • PHPセッションCookieなどの機密性の高いCookie

    • パスワードとユーザー名

    • 識別可能な情報(社会保障番号、州ID番号など)

    • 機密コンテンツ

  • 寄稿を使用してセキュリティを強化する modules。いくつかの標準モジュールカテゴリは次のとおりです。

    • セキュリティカテゴリ

    • ユーザーアクセス/認証

    • スパム防止モジュール

  • をインストールすることにより、ユーザーの役割と権限を無効にすることができます Secure Permission モジュール。

  • ログイン操作でセキュリティ操作を向上させるには、 Login Security モジュール。

  • サイト管理者は、サイトを非公開にし、役割によってユーザーのアクセスを制限することでサイトを保護できます。このプロセスのため、検索エンジンや他のクローラーがサイトにアクセスできなくなります(wwwでデータのインデックスを作成するため)。