• Startseite
  • Artikel
  • SEO
  • 7 Drupal-Sicherheitsstrategien, die Sie sofort implementieren müssen! (Enthält Top Drupal 8 Sicherheitsmodule)

7 Drupal-Sicherheitsstrategien, die Sie sofort implementieren müssen! (Enthält Top Drupal 8 Sicherheitsmodule)

Veröffentlicht: 2019-09-25

Die Sicherung Ihrer Website ist kein einmaliges Ziel, sondern ein fortlaufender Prozess, der viel Aufmerksamkeit erfordert. Eine Katastrophe zu verhindern ist immer die bessere Option. Mit einer Drupal 8-Website können Sie sicher sein, dass sich das Drupal-Sicherheitsteam um einige der wichtigsten Sicherheitsrisiken kümmert. Letztendlich liegt es natürlich bei Ihnen, sicherzustellen, dass Ihre Website sicher und geschützt ist, indem Sie die Best Practices für die Drupal-Sicherheit befolgen.


Drupal hat Millionen von Websites betrieben, von denen viele mit extrem kritischen Daten umgehen. Es überrascht nicht, dass Drupal das CMS der Wahl für Websites war, die kritische Informationen verarbeiten, wie Regierungswebsites, Bank- und Finanzinstitute, E-Commerce-Shops usw )


Drupal 8 gilt aufgrund seines zukunftsorientierten und kontinuierlichen Innovationsansatzes als eine der sichersten Versionen bis heute. Das Drupal-Sicherheitsteam hatte sechs Monate vor der Veröffentlichung von Drupal 8 auch ein Sicherheits-Bounty-Programm herausgegeben. Durch dieses Programm wurden Benutzer eingeladen, Drupal 8 zu testen und Fehler zu finden (und zu melden). Und sie wurden sogar dafür bezahlt!

Drupal-Sicherheitslücken

Es versteht sich von selbst, dass die Community die Sicherheit in Drupal sehr ernst nimmt und ständig Drupal-Sicherheitsupdates / -patches veröffentlicht. Das Drupal-Sicherheitsteam ist immer proaktiv und bereit, Patches bereitzustellen, noch bevor eine Schwachstelle öffentlich wird. Beispielsweise hat das Drupal-Sicherheitsteam das Sicherheitslücken-Update SA-CORE-2018-002 Tage vor der tatsächlichen Ausnutzung (Drupalgeddon2) veröffentlicht. Patches und Drupal-Sicherheitsupdates wurden bald veröffentlicht und rieten Drupal-Site-Administratoren, ihre Website zu aktualisieren.


Zitat Dries aus einem seiner Blogs zur Sicherheitslücke – „Das Drupal-Sicherheitsteam verfolgt eine „koordinierte Offenlegungsrichtlinie“: Probleme bleiben privat, bis eine Lösung veröffentlicht wird. Eine öffentliche Ankündigung erfolgt, wenn die Bedrohung behoben wurde und eine sichere Version des Drupal-Kerns ebenfalls verfügbar ist. Auch wenn ein Bugfix zur Verfügung gestellt wird, ist das Drupal Security Team sehr umsichtig mit seiner Kommunikation.


Einige interessante Einblicke in die Schwachstellenstatistik von Drupal von CVE Details:

Drupal-Sicherheit

Drupal-Sicherheitslücken

1. Bleiben Sie ruhig und bleiben Sie auf dem Laufenden – Drupal-Sicherheitsupdates

Das Drupal-Sicherheitsteam ist ständig auf der Suche nach Schwachstellen. Sobald sie einen finden, werden sofort Patches / Drupal-Sicherheitsupdates veröffentlicht. Außerdem werden nach Drupal 8 und der Einführung kontinuierlicher Innovationen häufiger Nebenversionen veröffentlicht. Dies hat zu einfachen und schnellen Drupal-Updates einer besseren, sichereren Version geführt.
Sicherzustellen, dass Ihre Drupal-Version und -Module auf dem neuesten Stand sind, ist wirklich das Mindeste, was Sie tun können, um die Sicherheit Ihrer Website zu gewährleisten. Drupal-Mitwirkende behalten den Überblick und suchen immer nach Sicherheitsbedrohungen, die eine Katastrophe bedeuten könnten. Drupal-Sicherheitsupdates enthalten nicht nur neue Funktionen, sondern auch Sicherheitspatches und Fehlerbehebungen. Drupal-Sicherheitsupdates und -ankündigungen werden in den E-Mails der Benutzer veröffentlicht und Site-Administratoren müssen ihre Versionen auf dem neuesten Stand halten, um die Sicherheit in Drupal zu gewährleisten.

2. Verwalten Sie Ihre Eingaben

Die meisten interaktiven Websites sammeln Eingaben von einem Benutzer. Als Website-Administratoren sind Sie einem hohen Sicherheitsrisiko ausgesetzt, wenn Sie diese Eingaben nicht angemessen verwalten und handhaben. Hacker können SQL-Codes einschleusen, die den Daten Ihrer Website großen Schaden zufügen können.
Wenn Sie verhindern, dass Ihre Benutzer SQL-spezifische Wörter wie „SELECT“ oder „DROP“ oder „DELETE“ eingeben, kann dies die Benutzererfahrung Ihrer Website beeinträchtigen. Stattdessen können Sie mit der Sicherheit in Drupal Escape- oder Filterfunktionen verwenden, die in der Datenbank-API verfügbar sind, um solche schädlichen SQL-Injections zu entfernen und herauszufiltern. Die Bereinigung Ihres Codes ist der wichtigste Schritt auf dem Weg zu einer sicheren Drupal-Website.

3. Drupal 8-Sicherheit

Wie hilft Drupal 8 beim Aufbau einer robusteren und sichereren Website? Hier sind einige Drupal 8-Sicherheitsfunktionen:

  • Symfony – Mit der Übernahme des Symfony-Frameworks in Drupal 8 öffnete es Türen für viele weitere Entwickler, die nicht nur auf die Kernentwickler von Drupal beschränkt waren. Symfony ist nicht nur ein sichereres Framework, sondern hat auch mehr Entwickler mit unterschiedlichen Erkenntnissen dazu gebracht, Fehler zu beheben und Sicherheitspatches zu erstellen.
  • Twig-Vorlagen – Wie wir gerade über die Bereinigung Ihres Codes besprochen haben, um Eingaben besser verarbeiten zu können, möchten wir Ihnen hiermit sagen, dass dies mit Drupal 8 bereits erledigt ist. Wie? Dank der Einführung von Twig in Drupal 8 als Templating-Engine. Mit Twig benötigen Sie kein zusätzliches Filtern und Escapen von Eingaben, da es automatisch bereinigt wird. Darüber hinaus macht es Twigs Erzwingung separater Ebenen zwischen Logik und Präsentation unmöglich, SQL-Abfragen auszuführen oder die Themenebene zu missbrauchen.
  • Sichereres WYSIWYG - Der WYSIWYG-Editor in Drupal ist ein großartiges Bearbeitungswerkzeug für Benutzer, kann aber auch für Angriffe wie XSS-Angriffe missbraucht werden. Da Drupal 8 den Best Practices für Drupal-Sicherheit folgt, können jetzt nur gefilterte HTML-Formate verwendet werden. Um zu verhindern, dass Benutzer Bilder missbrauchen, und um CSRF (Cross-Site Request Forgery) zu verhindern, ermöglicht die Kerntextfilterung von Drupal 8 Benutzern, nur lokale Bilder zu verwenden.
  • Die Configuration Management Initiative (CMI) – Diese Drupal 8-Initiative eignet sich hervorragend für Site-Administratoren und -Eigentümer, da sie die Konfiguration im Code verfolgen können. Alle Änderungen an der Site-Konfiguration werden verfolgt und geprüft, was eine strenge Kontrolle über die Site-Konfiguration ermöglicht.

4. Wählen Sie Ihre Drupal-Module mit Bedacht aus

Überprüfen Sie vor der Installation eines Moduls, wie aktiv es ist. Sind die Modulentwickler aktiv genug? Veröffentlichen sie häufig Drupal-Sicherheitsupdates? Wurde es schon einmal heruntergeladen oder bist du der erste Sündenbock? Alle genannten Details finden Sie unten auf der Downloadseite der Module. Stellen Sie außerdem sicher, dass Ihre Module aktualisiert sind, und deinstallieren Sie diejenigen, die Sie nicht mehr verwenden.

5. Drupal-Sicherheitsmodule zur Rettung

So wie mehrlagige Kleidung besser funktioniert als ein dicker Pullover, um im Winter warm zu bleiben, ist Ihre Website am besten durch einen mehrlagigen Ansatz geschützt. Drupal-Sicherheitsmodule können Ihrer Website eine zusätzliche Sicherheitsebene verleihen. Einige der wichtigsten Drupal 8-Sicherheitsmodule, die Sie für Ihre Website verwenden müssen –

Drupal-Login-Sicherheit

Dieses Modul gewährleistet die Sicherheit in Drupal, indem es dem Site-Administrator ermöglicht, verschiedene Einschränkungen für die Benutzeranmeldung hinzuzufügen. Das Drupal-Login-Sicherheitsmodul kann die Anzahl ungültiger Login-Versuche einschränken, bevor Konten blockiert werden. Für IP-Adressen kann der Zugriff vorübergehend oder dauerhaft verweigert werden.

Zwei-Faktor-Authentifizierung -

Mit diesem Drupal-Sicherheitsmodul können Sie eine zusätzliche Authentifizierungsebene hinzufügen, sobald sich Ihr Benutzer mit einer Benutzer-ID und einem Passwort anmeldet. Wie die Eingabe eines Codes, der an ihr Mobiltelefon gesendet wurde.

Kennwortrichtlinie -

Dies ist ein großartiges Drupal-Sicherheitsmodul, mit dem Sie Ihren Anmeldeformularen eine weitere Sicherheitsebene hinzufügen können, um Bots und andere Sicherheitsverletzungen zu verhindern. Es erzwingt bestimmte Einschränkungen für Benutzerpasswörter – wie Einschränkungen in Bezug auf Länge, Zeichentyp, Groß-/Kleinschreibung (Groß-/Kleinschreibung), Satzzeichen usw. Es zwingt Benutzer auch, ihre Passwörter regelmäßig zu ändern (Funktion zum Ablaufen von Passwörtern).

Verhinderung der Aufzählung von Benutzernamen –

Standardmäßig informiert Sie Drupal, wenn der eingegebene Benutzername nicht existiert oder existiert (wenn andere Anmeldeinformationen falsch sind). Dies kann großartig sein, wenn ein Hacker versucht, zufällige Benutzernamen einzugeben, nur um einen tatsächlich gültigen Benutzernamen herauszufinden. Dieses Modul ermöglicht Sicherheit in Drupal und verhindert solche Angriffe, indem es die Standardfehlermeldung ändert.

Inhaltszugriff -

Wie der Name schon sagt, können Sie mit diesem Modul eine detailliertere Zugriffskontrolle auf Ihre Inhalte vornehmen. Jeder Inhaltstyp kann mit benutzerdefinierten Ansichts-, Bearbeitungs- oder Löschberechtigungen angegeben werden. Sie können Berechtigungen für Inhaltstypen nach Rolle und Autor verwalten.

Kodierer -

Auch Lücken in Ihrem Code können einem Angreifer Platz machen. Das Coder-Modul (ein Befehlszeilentool mit IDE-Unterstützung) durchläuft Ihren Drupal-Code und teilt Ihnen mit, wo Sie die besten Codierungspraktiken nicht befolgt haben.

Sicherheitskit -

Dieses Drupal-Sicherheitsmodul bietet viele Funktionen zum Umgang mit Risiken. Schwachstellen wie Cross-Site-Scripting (oder Sniffing), CSRF, Clickjacking, Lauschangriffe und mehr können mit diesem Drupal 88-Sicherheitsmodul einfach gehandhabt und gemildert werden.

Captcha -

So sehr wir es auch hassen, unsere Menschlichkeit zu beweisen, CAPTCHA ist wahrscheinlich eines der besten Drupal-Sicherheitsmodule, um unerwünschte Spambots zu filtern. Dieses Drupal-Modul verhindert die automatische Übermittlung von Skripten durch Spambots und kann in jeder Webform einer Drupal-Website verwendet werden

6. Überprüfen Sie Ihre Berechtigungen

Drupal ermöglicht es Ihnen, mehrere Rollen und Benutzer wie Administratoren, authentifizierte Benutzer, anonyme Benutzer, Redakteure usw. zu haben. Um die Sicherheit Ihrer Website zu optimieren, sollte jede dieser Rollen nur eine bestimmte Art von Arbeit ausführen dürfen. Ein anonymer Benutzer sollte beispielsweise die geringsten Berechtigungen wie das Anzeigen von Inhalten erhalten. Nachdem Sie Drupal installiert und/oder weitere Module hinzugefügt haben, vergessen Sie nicht, jeder Rolle manuell Zugriffsberechtigungen zuzuweisen und zu erteilen.

7. Holen Sie sich HTTPS

Ich wette, Sie wussten bereits, dass jeder Verkehr, der nur über ein HTTP übertragen wird, von fast jedem ausspioniert und aufgezeichnet werden kann. Informationen wie Ihre Login-ID, Ihr Passwort und andere Sitzungsinformationen können von einem Angreifer erfasst und ausgenutzt werden. Wenn Sie eine E-Commerce-Website haben, wird dies noch kritischer, da es um Zahlungen und persönliche Daten geht. Die Installation eines SSL-Zertifikats auf Ihrem Server sichert die Verbindung zwischen dem Benutzer und dem Server, indem die übertragenen Daten verschlüsselt werden. Eine HTTPS-Website kann auch Ihr SEO-Ranking verbessern – die Investition lohnt sich also auf jeden Fall.