Drupal-사이트 보안

이 장에서는 Drupal 사이트를 보호하는 방법에 대해 알아 봅니다. 이 장에서는 사이트 관리자를위한 보안 구성 제안을 지정하고 관리자에게 사이트 보안 방법을 알려줍니다.

보안 구성에 도움이되는 많은 기여 모듈이 있습니다. Security Review 모듈은 사이트를 안전하지 않게 만드는 실수 테스트를 자동화합니다.

• 보안 문제를 직접 신고 할 수 있습니다. Drupal core, contrib 또는 Drupal.org문제에 대한 이메일을 보내십시오. 보안 팀은 프로젝트 관리자의 도움을 받아 문제를 해결하는 데 도움을줍니다.

• 다음을 통해 파일 권한 및 소유권을 보호하십시오. configuring웹 서버 (예 : Apache)는 파일을 편집하거나 쓸 수있는 액세스 권한이 없어야하므로 서버 파일 시스템. 나중에 실행되는 읽기 전용 파일 이어야합니다 .

• 보안 위험 수준은 NIST Common Misuse Scoring System (NISTIR 7864)을 기반으로 하므로 조직에서 문제를 관리하는 방법을 확인할 수 있습니다. 다음은 0에서 25 사이의 숫자를 할당하여 보안 위험 수준을 이해하는 데 도움이되는 사항입니다.

  • 0 to 4 − 중요하지 않음.

  • 5 to 9 − 덜 중요합니다.

  • 10 to 14 − 다소 중요.

  • 15 to 19 − 중요

  • 20 to 25 − 매우 중요합니다.

• 신용 카드 번호와 같은 민감한 정보를 받아들이는 동안 PCI (Payment Card Industry)는 여러 데이터 보안 표준을 정의합니다 . 이것은 Drupal에 특정한 것은 아니지만, 각 Drupal 개발자가이를 인식하는 것이 중요합니다. PCI 문제에 대한 자세한 내용은 Drupal PCI 규정 준수 백서 링크를 참조하십시오 .

• 사용자를 삭제하거나 드루팔 사이트에서 자신을 삭제하는 것도 허용되어 가끔 예기치 않은 상황이 발생할 수 있습니다.

• 활성화 HTTPS, 민감한 정보를 다음과 같은 웹 사이트로 보내는 것이 더 안전합니다.

  • 신용 카드

  • PHP 세션 쿠키와 같은 민감한 쿠키

  • 암호 및 사용자 이름

  • 식별 가능한 정보 (사회 보장 번호, 주 ID 번호 등)

  • 기밀 콘텐츠

• 컨트 리뷰 션을 사용하여 보안 강화 modules. 일부 표준 모듈 범주는 다음과 같습니다.

• 보안 카테고리

• 사용자 액세스 / 인증

• 스팸 방지 모듈

• 다음을 설치하여 사용자의 역할 및 권한을 비활성화 할 수 있습니다. Secure Permission 기준 치수.

• 로그인 작업에서 보안 작업을 향상시킬 수 있습니다. Login Security 기준 치수.

• 사이트 관리자는 사이트를 비공개로 설정하고 역할별로 사용자에 대한 제한된 액세스로 사이트를 제한하여 사이트를 보호 할 수 있습니다. 이 프로세스로 인해 귀하의 사이트는 검색 엔진 및 기타 크롤러 (www에서 데이터 색인 생성)에 접근 할 수 없습니다.