Drupal - Bảo mật trang web
Trong chương này, chúng ta sẽ nghiên cứu cách bảo mật trang Drupal. Chương này chỉ định các đề xuất cấu hình bảo mật cho quản trị viên trang và cảnh báo cho quản trị viên cách bảo mật trang.
Có nhiều mô-đun được đóng góp giúp bạn cấu hình bảo mật, trong đó Security Review mô-đun tự động kiểm tra các lỗi khiến trang web của bạn không an toàn.
Bạn có thể báo cáo sự cố bảo mật trực tiếp với Drupal core, contrib hoặc là Drupal.orgbằng cách gửi e-mail về vấn đề này. Nhóm bảo mật sẽ giúp giải quyết vấn đề của bạn với sự giúp đỡ của người bảo trì dự án.
Đảm bảo quyền và quyền sở hữu tệp của bạn bằng cách configuringhệ thống tệp máy chủ, vì máy chủ web (ví dụ: Apache) sẽ không có quyền truy cập để chỉnh sửa hoặc ghi tệp. Nó chỉ nên đọc các tệp, được thực thi sau đó.
Các mức độ rủi ro bảo mật dựa trên Hệ thống chấm điểm lạm dụng phổ biến NIST (NISTIR 7864) , để tổ chức có thể xác minh cách quản lý vấn đề. Dưới đây là những điểm sẽ giúp bạn hiểu mức độ rủi ro bảo mật bằng cách gán số từ 0 đến 25 -
0 to 4 - Không quan trọng.
5 to 9 - Ít quan trọng hơn.
10 to 14 - Mức độ quan trọng vừa phải.
15 to 19 - Quan trọng
20 to 25 - Rất quan trọng.
Mặc dù chấp nhận thông tin nhạy cảm như số thẻ tín dụng, PCI (Ngành thẻ thanh toán) xác định một số Tiêu chuẩn bảo mật dữ liệu . Mặc dù điều này không phải là cụ thể của Drupal, nhưng điều quan trọng là mỗi nhà phát triển Drupal phải nhận thức được điều này. Để biết thêm về các vấn đề PCI, bạn có thể tham khảo liên kết này Sách trắng về Tuân thủ PCI của Drupal .
Người dùng được phép xóa hoặc thậm chí để người dùng tự xóa mình trong trang Drupal đôi khi có thể dẫn đến tình huống không mong muốn.
Kích hoạt HTTPS, an toàn hơn khi gửi thông tin nhạy cảm đến một trang web như−
Thẻ tín dụng
Cookie nhạy cảm như cookie phiên PHP
Mật khẩu và Tên người dùng
Thông tin nhận dạng (số An sinh xã hội, số ID Tiểu bang, v.v.)
Nội dung bí mật
Tăng cường bảo mật của bạn bằng cách sử dụng đóng góp modules. Một số loại mô-đun tiêu chuẩn là -
Hạng mục bảo mật
Quyền truy cập / xác thực của người dùng
Mô-đun ngăn chặn thư rác
Bạn có thể tắt các vai trò và quyền của người dùng bằng cách cài đặt Secure Permission mô-đun.
Hoạt động bảo mật có thể được cải thiện trong hoạt động đăng nhập bằng cách cài đặt Login Security mô-đun.
Quản trị viên trang web có thể bảo mật trang web của mình bằng cách đặt nó ở chế độ riêng tư và bằng cách giới hạn trang web ở quyền truy cập hạn chế cho người dùng theo vai trò. Do quá trình này, trang web của bạn sẽ không thể truy cập được với các công cụ tìm kiếm và các trình thu thập thông tin khác (để tạo chỉ mục dữ liệu trong www).