Drupal - ความปลอดภัยของเว็บไซต์
ในบทนี้เราจะศึกษาวิธีการรักษาความปลอดภัยเว็บไซต์ Drupal บทนี้ระบุคำแนะนำการกำหนดค่าความปลอดภัยสำหรับผู้ดูแลระบบไซต์และแจ้งเตือนผู้ดูแลระบบถึงวิธีการรักษาความปลอดภัยไซต์
มีโมดูลที่มีส่วนร่วมมากมายที่ช่วยคุณในการกำหนดค่าความปลอดภัยซึ่ง Security Review โมดูลจะทำการทดสอบข้อผิดพลาดที่ทำให้ไซต์ของคุณไม่ปลอดภัยโดยอัตโนมัติ
คุณสามารถรายงานปัญหาด้านความปลอดภัยได้โดยตรงกับ Drupal core, contrib หรือ Drupal.orgโดยการส่งอีเมลเกี่ยวกับปัญหานี้ ทีมรักษาความปลอดภัยจะช่วยแก้ไขปัญหาของคุณด้วยความช่วยเหลือจากผู้ดูแลโครงการ
รักษาความปลอดภัยสิทธิ์และความเป็นเจ้าของไฟล์ของคุณโดย configuringระบบไฟล์เซิร์ฟเวอร์เนื่องจากเว็บเซิร์ฟเวอร์ (เช่น Apache) ไม่ควรมีสิทธิ์เข้าถึงเพื่อแก้ไขหรือเขียนไฟล์ ควรเป็นไฟล์แบบอ่านอย่างเดียวซึ่งจะดำเนินการในภายหลัง
ระดับความเสี่ยงด้านความปลอดภัยเป็นไปตามNIST Common Misuse Scoring System (NISTIR 7864)เพื่อให้องค์กรสามารถตรวจสอบวิธีจัดการปัญหาได้ ด้านล่างนี้คือประเด็นที่จะช่วยให้คุณเข้าใจระดับความเสี่ยงด้านความปลอดภัยโดยกำหนดหมายเลขระหว่าง 0 ถึง 25 -
0 to 4 - ไม่สำคัญ
5 to 9 - มีความสำคัญน้อยกว่า
10 to 14 - วิกฤตพอสมควร
15 to 19 - สำคัญ
20 to 25 - มีความสำคัญสูง
ในขณะที่ยอมรับข้อมูลที่ละเอียดอ่อนเช่นหมายเลขบัตรเครดิต PCI (Payment Card Industry) กำหนดมาตรฐานความปลอดภัยของข้อมูลจำนวนหนึ่ง แม้ว่านี่จะไม่ใช่เฉพาะ Drupal แต่สิ่งสำคัญสำหรับนักพัฒนา Drupal แต่ละคนที่จะต้องตระหนักถึงสิ่งนี้ หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับปัญหา PCI ที่คุณสามารถดูลิงค์นี้Drupal มาตรฐาน PCI กระดาษสีขาว
ผู้ใช้จะได้รับอนุญาตให้ลบหรือแม้กระทั่งสำหรับผู้ใช้ที่จะลบตัวเองในเว็บไซต์ Drupal ซึ่งอาจนำไปสู่สถานการณ์ที่ไม่คาดคิดในบางครั้ง
เปิดใช้งาน HTTPSซึ่งปลอดภัยกว่าในการส่งข้อมูลที่ละเอียดอ่อนไปยังเว็บไซต์เช่น
บัตรเครดิต
คุกกี้ที่ละเอียดอ่อนเช่นคุกกี้เซสชัน PHP
รหัสผ่านและชื่อผู้ใช้
ข้อมูลที่ระบุตัวตนได้ (หมายเลขประกันสังคมหมายเลขประจำตัวประชาชน ฯลฯ )
เนื้อหาที่เป็นความลับ
เพิ่มความปลอดภัยของคุณโดยใช้ที่มีส่วน modules. หมวดหมู่โมดูลมาตรฐานบางประเภท ได้แก่ -
หมวดความปลอดภัย
การเข้าถึง / การพิสูจน์ตัวตนของผู้ใช้
โมดูลป้องกันสแปม
คุณสามารถปิดใช้งานบทบาทและสิทธิ์ของผู้ใช้โดยการติดตั้งไฟล์ Secure Permission โมดูล.
การดำเนินการด้านความปลอดภัยสามารถปรับปรุงได้ในการดำเนินการเข้าสู่ระบบโดยการติดตั้งไฟล์ Login Security โมดูล.
ผู้ดูแลไซต์สามารถรักษาความปลอดภัยไซต์ของตนได้โดยกำหนดให้เป็นแบบส่วนตัวและโดยการ จำกัด ไซต์เพื่อ จำกัด การเข้าถึงสำหรับผู้ใช้ตามบทบาท เนื่องจากกระบวนการนี้ไซต์ของคุณจะไม่สามารถเข้าถึงเครื่องมือค้นหาและโปรแกรมรวบรวมข้อมูลอื่น ๆ ได้ (เพื่อสร้างดัชนีข้อมูลใน www)