7 استراتيجيات أمان دروبال تحتاج إلى تنفيذها على الفور! (يشمل أفضل 8 وحدات أمان دروبال)

إن تأمين موقع الويب الخاص بك ليس هدفًا لمرة واحدة ولكنه عملية مستمرة تتطلب الكثير من انتباهك. دائمًا ما يكون منع وقوع كارثة خيارًا أفضل. من خلال موقع ويب دروبال 8 ، يمكنك أن تطمئن إلى وجود بعض المخاطر الأمنية الكبرى التي يتولى فريق الأمن دروبال العناية بها. بالطبع ، في النهاية ، يقع على عاتقك المسؤولية لضمان أن موقع الويب الخاص بك آمن ومأمون من خلال اتباع أفضل ممارسات دروبال الأمنية.

قام دروبال بتشغيل ملايين المواقع ، والعديد منها يتعامل مع بيانات بالغة الأهمية. مما لا يثير الدهشة ، أن دروبال كان CMS المفضل لمواقع الويب التي تتعامل مع المعلومات الهامة مثل المواقع الحكومية ، والمؤسسات المصرفية والمالية ، ومتاجر التجارة الإلكترونية ، وما إلى ذلك. تعالج تحديثات وميزات أمان دروبال جميع المخاطر الأمنية العشرة الأولى لـ OWASP (مشروع أمان تطبيق الويب المفتوح )

يعتبر دروبال 8 واحدًا من أكثر الإصدارات أمانًا حتى الآن بسبب التفكير المستقبلي ونهج الابتكار المستمر. أصدر فريق دروبال الأمني ​​أيضًا برنامج مكافآت أمنية قبل ستة أشهر من إصدار دروبال 8. من خلال هذا البرنامج ، تمت دعوة المستخدمين لاختبار التشغيل والعثور على الأخطاء (والإبلاغ عنها) في دروبال 8. وحتى أنهم حصلوا على أموال مقابل ذلك!

ثغرات أمنية دروبال

وغني عن القول أن المجتمع يأخذ الأمن في دروبال على محمل الجد ويواصل إصدار تحديثات / تصحيحات أمان دروبال. فريق دروبال الأمني ​​دائمًا استباقي وجاهز مع التصحيحات حتى قبل ظهور الثغرة على الملأ. على سبيل المثال ، أصدر فريق دروبال الأمني ​​تحديث الثغرة الأمنية - SA-CORE-2018-002 قبل أيام من استغلالها فعليًا (Drupalgeddon2). تم إصدار التصحيحات وتحديثات أمان Drupal قريبًا ، لتنصح مسؤولي موقع Drupal بتحديث موقع الويب الخاص بهم.

نقلاً عن Dries من إحدى مدوناته حول الثغرة الأمنية - "يتبع فريق Drupal Security" سياسة إفشاء منسقة ": تظل المشكلات خاصة حتى يتم نشر إصلاح. يتم إصدار إعلان عام عند معالجة التهديد وإصدار نسخة آمنة من دروبال كور أيضًا. حتى عندما يتم توفير إصلاح للأخطاء ، فإن فريق Drupal Security يكون مدروسًا جدًا في اتصالاته. "

بعض الأفكار المثيرة للاهتمام حول إحصائيات نقاط الضعف في دروبال حسب تفاصيل مكافحة التطرف العنيف:

1. حافظ على الهدوء والبقاء على اطلاع دائم - تحديثات دروبال الأمنية

فريق دروبال الأمني ​​دائمًا على أهبة الاستعداد للبحث عن نقاط الضعف. بمجرد عثورهم على أحد التحديثات ، يتم إصدار التصحيحات / تحديثات أمان Drupal على الفور. أيضًا ، بعد دروبال 8 واعتماد الابتكار المستمر ، أصبحت الإصدارات الثانوية أكثر تكرارًا. وقد أدى ذلك إلى تحديثات دروبال سهلة وسريعة لإصدار أفضل وأكثر أمانًا.
إن التأكد من تحديث إصدار دروبال والوحدات النمطية الخاصة بك هو أقل ما يمكنك فعله لضمان سلامة موقع الويب الخاص بك. يظل المساهمون في Drupal على دراية بالأمور ويبحثون دائمًا عن أي تهديدات أمنية قد تؤدي إلى كارثة. لا تأتي تحديثات أمان Drupal مع ميزات جديدة فحسب ، بل تأتي أيضًا مع تصحيحات الأمان وإصلاحات الأخطاء. يتم نشر تحديثات وإعلانات أمان Drupal على رسائل البريد الإلكتروني للمستخدمين ويتعين على مسؤولي الموقع تحديث إصداراتهم لضمان الأمان في Drupal.

2. إدارة المدخلات الخاصة بك

تجمع معظم مواقع الويب التفاعلية المدخلات من المستخدم. بصفتك مديري مواقع الويب ، ما لم تقم بإدارة هذه المدخلات والتعامل معها بشكل مناسب ، فأنت في خطر أمني كبير. يمكن للقراصنة إدخال أكواد SQL التي يمكن أن تسبب ضررًا كبيرًا لبيانات موقع الويب الخاص بك.
قد يؤدي منع المستخدمين من إدخال كلمات معينة في SQL مثل "SELECT" أو "DROP" أو "DELETE" إلى الإضرار بتجربة المستخدم لموقعك على الويب. بدلاً من ذلك ، مع الأمان في دروبال ، يمكنك استخدام وظائف الهروب أو التصفية المتوفرة في واجهة برمجة تطبيقات قاعدة البيانات لتجريد وتصفية عمليات حقن SQL الضارة هذه. يعد تعقيم الكود الخاص بك هو الخطوة الأكثر أهمية نحو موقع ويب دروبال آمن.

3. دروبال 8 الأمن

كيف يساعد دروبال 8 في بناء موقع أكثر قوة وأمانًا؟ فيما يلي بعض ميزات أمان دروبال 8 -

• Symfony - مع اعتماد Drupal 8 لإطار عمل Symfony ، فقد فتح الأبواب أمام العديد من المطورين بخلاف قصرهم على مطوري Drupal الأساسيين فقط. لا يعتبر Symfony إطارًا أكثر أمانًا فحسب ، بل إنه جلب أيضًا المزيد من المطورين ذوي الرؤى المختلفة لإصلاح الأخطاء وإنشاء تصحيحات الأمان.
• قوالب Twig - كما ناقشنا للتو حول تعقيم الكود الخاص بك للتعامل مع المدخلات بشكل أفضل ، إليك هنا لإخبارك أنه مع Drupal 8 ، تم الاهتمام به بالفعل. كيف؟ بفضل اعتماد Drupal 8 لـ Twig كمحرك نموذجي لها. مع Twig ، لن تحتاج إلى أي تصفية إضافية وهروب من المدخلات حيث يتم تعقيمها تلقائيًا. بالإضافة إلى ذلك ، نظرًا لأن تطبيق Twig لطبقات منفصلة بين المنطق والعرض التقديمي ، يجعل من المستحيل تشغيل استعلامات SQL أو إساءة استخدام طبقة السمة.
• WYSIWYG أكثر أمانًا - يعد محرر WYSIWYG في Drupal أداة تحرير رائعة للمستخدمين ولكن يمكن أيضًا إساءة استخدامه لتنفيذ هجمات مثل هجمات XSS. مع اتباع دروبال 8 لأفضل ممارسات دروبال الأمنية ، فإنه يسمح الآن باستخدام تنسيقات HTML المفلترة فقط. أيضًا ، لمنع المستخدمين من إساءة استخدام الصور ولمنع CSRF (طلب التزوير عبر المواقع) ، تسمح ميزة تصفية النص الأساسية في Drupal 8 للمستخدمين باستخدام الصور المحلية فقط.
• مبادرة إدارة التهيئة (CMI) - تعمل مبادرة دروبال 8 هذه بشكل رائع لمسؤولي ومالكي المواقع لأنها تتيح لهم تتبع التكوين في الكود. سيتم تتبع أي تغييرات في تكوين الموقع ومراجعتها ، مما يسمح بمراقبة صارمة على تكوين موقع الويب.

4. اختر وحدات دروبال بحكمة

قبل تثبيت أي وحدة ، تأكد من إلقاء نظرة على مدى نشاطها. هل مطورو الوحدة نشيطون بدرجة كافية؟ هل يطلقون تحديثات دروبال الأمنية في كثير من الأحيان؟ هل تم تنزيله من قبل أم أنك أول سكيب ماعز؟ ستجد جميع التفاصيل المذكورة في أسفل صفحة تنزيل الوحدات. تأكد أيضًا من تحديث الوحدات النمطية الخاصة بك وإلغاء تثبيت الوحدات التي لم تعد تستخدمها.

5. وحدات دروبال الأمنية للإنقاذ

تمامًا مثل الملابس ذات الطبقات التي تعمل بشكل أفضل من كنزة صوفية سميكة للتدفئة خلال فصل الشتاء ، فإن موقع الويب الخاص بك يكون محميًا بشكل أفضل من خلال نهج متعدد الطبقات. يمكن لوحدات أمان Drupal أن تمنح موقع الويب الخاص بك طبقة أمان إضافية حوله. بعض من أفضل وحدات الأمان Drupal 8 التي يجب عليك استخدامها لموقع الويب الخاص بك -

أمان تسجيل الدخول إلى Drupal -

تضمن هذه الوحدة الأمان في دروبال من خلال السماح لمسؤول الموقع بإضافة قيود مختلفة على تسجيل دخول المستخدم. يمكن لوحدة أمان تسجيل الدخول دروبال تقييد عدد محاولات تسجيل الدخول غير الصالحة قبل حظر الحسابات. يمكن رفض الوصول إلى عناوين IP إما بشكل مؤقت أو دائم.

توثيق ذو عاملين -

باستخدام وحدة أمان Drupal هذه ، يمكنك إضافة طبقة إضافية من المصادقة بمجرد أن يقوم المستخدم بتسجيل الدخول باستخدام معرف المستخدم وكلمة المرور. مثل إدخال رمز تم إرساله إلى هواتفهم المحمولة.

سياسة كلمة المرور -

هذه وحدة أمان Drupal رائعة تتيح لك إضافة طبقة أخرى من الأمان إلى نماذج تسجيل الدخول الخاصة بك ، مما يمنع الروبوتات وغيرها من الانتهاكات الأمنية. يفرض قيودًا معينة على كلمات مرور المستخدم - مثل القيود المفروضة على الطول ونوع الحرف والحالة (الأحرف الكبيرة / الصغيرة) وعلامات الترقيم وما إلى ذلك ، كما يجبر المستخدمين على تغيير كلمات المرور بانتظام (ميزة انتهاء صلاحية كلمة المرور).

منع تعداد اسم المستخدم -

بشكل افتراضي ، يتيح لك دروبال معرفة ما إذا كان اسم المستخدم الذي تم إدخاله غير موجود أو موجود (إذا كانت بيانات الاعتماد الأخرى خاطئة). يمكن أن يكون هذا رائعًا إذا حاول أحد المتطفلين إدخال أسماء مستخدمين عشوائية فقط لمعرفة اسم مستخدم صالح بالفعل. تتيح هذه الوحدة الأمان في دروبال وتمنع مثل هذه الهجمات عن طريق تغيير رسالة الخطأ القياسية.

الوصول إلى المحتوى -

كما يوحي الاسم ، تتيح لك هذه الوحدة منح تحكم أكثر تفصيلاً في الوصول إلى المحتوى الخاص بك. يمكن تحديد كل نوع محتوى باستخدام طريقة عرض مخصصة ، أو تعديل الأذونات أو حذفها. يمكنك إدارة أذونات أنواع المحتويات حسب الدور والمؤلف.

المبرمج -

يمكن أيضًا أن تفسح الثغرات الموجودة في التعليمات البرمجية الطريق للمهاجم. تمر وحدة Coder (أداة سطر أوامر بدعم IDE) عبر كود Drupal الخاص بك وتتيح لك معرفة المكان الذي لم تتبع فيه أفضل ممارسات الترميز.

طقم الأمان -

توفر وحدة أمان دروبال العديد من ميزات التعامل مع المخاطر. يمكن التعامل بسهولة مع الثغرات الأمنية مثل البرمجة النصية عبر المواقع (أو الاستنشاق) و CSRF و Clickjacking وهجمات التنصت والمزيد بسهولة مع وحدة الأمان Drupal 88 هذه.

كلمة التحقق -

بقدر ما نكره إثبات إنسانيتنا ، ربما تكون CAPTCHA واحدة من أفضل وحدات أمان Drupal المتوفرة لتصفية spambots غير المرغوب فيها. تمنع وحدة دروبال هذه عمليات إرسال البرامج النصية الآلية من روبوتات السبام ويمكن استخدامها في أي شكل ويب لموقع ويب دروبال

6. تحقق من الأذونات الخاصة بك

يسمح لك دروبال بالحصول على أدوار متعددة ومستخدمين مثل المسؤولين ، والمستخدمين المصادق عليهم ، والمستخدمين المجهولين ، والمحررين ، إلخ. من أجل ضبط أمان موقع الويب الخاص بك ، يجب السماح لكل من هذه الأدوار بأداء نوع معين فقط من العمل. على سبيل المثال ، يجب منح مستخدم مجهول أذونات أقل مثل عرض المحتوى فقط. بمجرد تثبيت Drupal و / أو إضافة المزيد من الوحدات النمطية ، لا تنسَ تعيين أذونات الوصول يدويًا ومنحها لكل دور.

7. احصل على HTTPS

أراهن أنك تعلم بالفعل أن أي حركة مرور يتم نقلها عبر HTTP فقط يمكن تطفلها وتسجيلها بواسطة أي شخص تقريبًا. يمكن للمهاجم الحصول على معلومات مثل معرف تسجيل الدخول وكلمة المرور ومعلومات الجلسة الأخرى واستغلالها. إذا كان لديك موقع ويب للتجارة الإلكترونية ، فإن هذا يصبح أكثر أهمية لأنه يتعامل مع الدفع والتفاصيل الشخصية. سيؤدي تثبيت شهادة SSL على الخادم الخاص بك إلى تأمين الاتصال بين المستخدم والخادم عن طريق تشفير البيانات المنقولة. يمكن لموقع HTTPS أيضًا زيادة تصنيف مُحسّنات محرّكات البحث - مما يجعله يستحق الاستثمار تمامًا.