Drupal - Site Güvenliği
Bu bölümde, Drupal sahasının nasıl güvenli hale getirileceğini inceleyeceğiz. Bu bölüm, site yöneticileri için güvenlik yapılandırma önerilerini belirtir ve yöneticiyi sitenin güvenliğini nasıl sağlayacağı konusunda uyarır.
Güvenlik yapılandırmasında size yardımcı olan birçok katkıda bulunan modül vardır. Security Review modülü, sitenizi güvensiz hale getiren hataları test etmeyi otomatikleştirir.
Bir güvenlik sorununu doğrudan şu adrese bildirebilirsiniz: Drupal core, contrib veya Drupal.orgkonuyla ilgili bir e-posta göndererek. Güvenlik ekibi, sorununuzu proje sorumlusunun yardımıyla çözmenize yardımcı olacaktır.
Dosya izinlerinizi ve sahipliğinizi şu şekilde güvence altına alın: configuringsunucu dosya sistemi, web sunucusu (örn. Apache) dosyaları düzenleme veya yazma erişimine sahip olmamalıdır. Daha sonra çalıştırılacak olan salt okunur dosyalar olmalıdır .
Güvenlik riski seviyeleri , kuruluşun sorunu nasıl yöneteceğini doğrulayabilmesi için NIST Ortak Kötüye Kullanım Puanlama Sistemine (NISTIR 7864) dayanmaktadır . Aşağıda, 0 ile 25 arasında bir sayı atayarak güvenlik risk seviyesini anlamanıza yardımcı olacak noktalar bulunmaktadır -
0 to 4 - Kritik değil.
5 to 9 - Daha Az Kritik.
10 to 14 - Orta Derecede Kritik.
15 to 19 - Kritik
20 to 25 - Son Derece Kritik.
Kredi kartı numarası gibi hassas bilgileri kabul ederken, PCI (Ödeme Kartı Endüstrisi) bir dizi Veri Güvenliği Standardı tanımlar . Bu, Drupal'a özgü olmasa da, her Drupal geliştiricisinin bunun farkında olması önemlidir. PCI sorunları hakkında daha fazla bilgi edinmek için bu bağlantıya Drupal PCI Uyumluluğu Teknik Raporu'na başvurabilirsiniz .
Drupal sitesinde kullanıcıların silinmesine, hatta kullanıcıların kendilerini silmesine izin verilmektedir, bu da bazen beklenmedik bir duruma yol açabilmektedir.
etkinleştirme HTTPShassas bilgileri aşağıdaki gibi bir web sitesine göndermek daha güvenlidir:
Kredi kartları
PHP oturum çerezleri gibi hassas çerezler
Parolalar ve Kullanıcı Adları
Tanımlanabilir bilgiler (Sosyal Güvenlik numarası, Eyalet Kimlik numaraları vb.)
Gizli içerik
Katkıda bulunan kullanarak güvenliğinizi artırın modules. Bazı standart modül kategorileri şunlardır:
Güvenlik kategorisi
Kullanıcı erişimi / kimlik doğrulama
Spam önleme modülleri
Kullanıcının rollerini ve izinlerini, Secure Permission modül.
Oturum açma işleminde güvenlik işlemi, Login Security modül.
Site yöneticisi, siteyi gizli yaparak ve siteyi role göre kullanıcılar için sınırlı erişimle kısıtlayarak sitenin güvenliğini sağlayabilir. Bu işlem nedeniyle, sitenize arama motorları ve diğer tarayıcılar erişilemeyecektir (www'da bir veri dizini oluşturmak için).