• ホームページ
  • 記事
  • SEO
  • すぐに実装する必要のある7つのDrupalセキュリティ戦略! (上位のDrupal 8セキュリティモジュールを含む)

すぐに実装する必要のある7つのDrupalセキュリティ戦略! (上位のDrupal 8セキュリティモジュールを含む)

公開: 2019-09-25

Webサイトの保護は、1回限りの目標ではなく、多くの注意を必要とする継続的なプロセスです。 災害を防ぐことは常により良い選択肢です。 Drupal 8のWebサイトを使用すると、Drupalセキュリティチームがセキュリティ上の最高のリスクに対処することができます。 もちろん、最終的には、Drupalのセキュリティのベストプラクティスに従うことで、Webサイトの安全性を確保する責任があります。


Drupalは何百万ものWebサイトに電力を供給しており、その多くは非常に重要なデータを処理しています。 当然のことながら、Drupalは、政府のWebサイト、銀行、金融機関、eコマースストアなどの重要な情報を処理するWebサイトに最適なCMSです。Drupalのセキュリティ更新と機能は、OWASP(Open Web Application Security Project )。


Drupal 8は、先進的で継続的なイノベーションアプローチにより、これまでで最も安全なバージョンの1つと見なされています。 Drupalセキュリティチームは、Drupal 8のリリースの6か月前に、セキュリティ報奨金プログラムも発行していました。このプログラムを通じて、ユーザーはDrupal 8のバグをテスト実行して発見(および報告)するように招待されました。

Drupalのセキュリティの脆弱性

言うまでもなく、コミュニティはDrupalのセキュリティを非常に真剣に受け止めており、Drupalのセキュリティ更新プログラム/パッチをリリースし続けています。 Drupalセキュリティチームは、脆弱性が公開される前であっても、常にプロアクティブでパッチの準備ができています。 たとえば、Drupalセキュリティチームは、セキュリティの脆弱性の更新をリリースしました-実際に悪用される数日前にSA-CORE-2018-002(Drupalgeddon2)。 パッチとDrupalのセキュリティ更新プログラムがまもなくリリースされ、Drupalサイトの管理者にWebサイトを更新するようにアドバイスしました。


セキュリティの脆弱性に関する彼のブログの1つからの引用– 「Drupalセキュリティチームは「調整された開示ポリシー」に従います。公開された修正が公開されるまで、問題は非公開のままです。 脅威が対処され、Drupalコアの安全なバージョンも利用可能になると、公表されます。 バグ修正が利用可能になった場合でも、Drupalセキュリティチームはそのコミュニケーションに非常に配慮しています。 「「


CVEの詳細によるDrupalの脆弱性統計に関するいくつかの興味深い洞察:

Drupalセキュリティ

Drupalセキュリティの脆弱性

1.落ち着いて最新の状態に保つ–Drupalセキュリティの更新

Drupalのセキュリティチームは、常に脆弱性に注意を払っています。 パッチが見つかるとすぐに、パッチ/ Drupalのセキュリティアップデートがすぐにリリースされます。 また、Drupal 8と継続的なイノベーションの採用後、マイナーリリースがより頻繁に行われます。 これにより、より優れた、より安全なバージョンのDrupalアップデートが簡単かつ迅速になりました。
Drupalのバージョンとモジュールが最新であることを確認することは、Webサイトの安全性を確保するためにできる最小限のことです。 Drupalの貢献者は常に最新情報を把握しており、災害を引き起こす可能性のあるセキュリティ上の脅威を常に探しています。 Drupalのセキュリティ更新プログラムには、新機能だけでなく、セキュリティパッチやバグ修正も含まれています。 Drupalのセキュリティ更新とアナウンスはユーザーの電子メールに投稿され、サイト管理者はDrupalのセキュリティを確保するためにバージョンを更新し続ける必要があります。

2.入力を管理します

ほとんどのインタラクティブなWebサイトは、ユーザーからの入力を収集します。 Webサイトの管理者は、これらの入力を適切に管理および処理しない限り、セキュリティ上のリスクが高くなります。 ハッカーは、Webサイトのデータに大きな害を及ぼす可能性のあるSQLコードを挿入する可能性があります。
ユーザーが「SELECT」、「DROP」、「DELETE」などのSQL固有の単語を入力できないようにすると、Webサイトのユーザーエクスペリエンスが損なわれる可能性があります。 代わりに、Drupalのセキュリティを使用すると、データベースAPIで使用可能なエスケープ関数またはフィルタリング関数を使用して、このような有害なSQLインジェクションを削除および除外できます。 コードをサニタイズすることは、安全なDrupalWebサイトに向けた最も重要なステップです。

3. Drupal8のセキュリティ

Drupal 8は、より堅牢で安全なWebサイトの構築にどのように役立ちますか? Drupal8のセキュリティ機能をいくつか紹介します-

  • Symfony – Drupal 8はSymfonyフレームワークを採用しており、コアのDrupal開発者だけに限定する以外に、さらに多くの開発者に門戸を開いています。 Symfonyはより安全なフレームワークであるだけでなく、バ​​グを修正してセキュリティパッチを作成するためのさまざまな洞察を持つより多くの開発者をもたらしました。
  • Twigテンプレート–入力をより適切に処理するためにコードをサニタイズすることについて説明したように、Drupal8ではすでに処理されていることをお伝えします。 どのように? Drupal8がテンプレートエンジンとしてTwigを採用したおかげです。 Twigを使用すると、入力が自動的にサニタイズされるため、追加のフィルタリングや入力のエスケープは必要ありません。 さらに、Twigはロジックとプレゼンテーションの間に別々のレイヤーを適用しているため、SQLクエリを実行したりテーマレイヤーを誤用したりすることはできません。
  • より安全なWYSIWYG -DrupalのWYSIWYGエディターは、ユーザーにとって優れた編集ツールですが、XSS攻撃などの攻撃を実行するために悪用される可能性もあります。 Drupalセキュリティのベストプラクティスに従ったDrupal8により、フィルター処理されたHTML形式のみを使用できるようになりました。 また、ユーザーが画像を誤用するのを防ぎ、CSRF(クロスサイトリクエストフォージェリ)を防ぐために、Drupal 8のコアテキストフィルタリングでは、ユーザーはローカル画像のみを使用できます。
  • 構成管理イニシアチブ(CMI) –このDrupal 8イニシアチブは、サイト管理者と所有者がコードで構成を追跡できるため、非常に効果的です。 サイト構成の変更はすべて追跡および監査されるため、Webサイト構成を厳密に制御できます。

4.Drupalモジュールを賢く選択します

モジュールをインストールする前に、モジュールがどれだけアクティブであるかを確認してください。 モジュール開発者は十分にアクティブですか? 彼らはDrupalのセキュリティアップデートを頻繁にリリースしていますか? 以前にダウンロードしたことがありますか、それとも最初のスケープヤギですか? 上記のすべての詳細は、モジュールのダウンロードページの下部にあります。 また、モジュールが更新されていることを確認し、使用しなくなったモジュールをアンインストールします。

5.Drupalセキュリティモジュールが救助に

重ね着が冬の間暖かく保つために1つの厚いプルオーバーよりもうまく機能するように、あなたのウェブサイトは層状のアプローチで最もよく保護されます。 Drupalセキュリティモジュールは、Webサイトの周囲にセキュリティの追加レイヤーを提供できます。 Webサイトに使用する必要のある上位のDrupal8セキュリティモジュールのいくつか–

Drupalログインセキュリティ

このモジュールは、サイト管理者がユーザーログインにさまざまな制限を追加できるようにすることで、Drupalのセキュリティを確保します。 Drupalログインセキュリティモジュールは、アカウントをブロックする前に無効なログイン試行の回数を制限できます。 IPアドレスへのアクセスは、一時的または永続的に拒否できます。

二要素認証–

このDrupalセキュリティモジュールを使用すると、ユーザーがユーザーIDとパスワードを使用してログインすると、認証のレイヤーを追加できます。 携帯電話に送信されたコードを入力するようなものです。

パスワードポリシー–

これは、ログインフォームにセキュリティの別のレイヤーを追加できる優れたDrupalセキュリティモジュールであり、ボットやその他のセキュリティ違反を防ぎます。 長さ、文字タイプ、大文字小文字(大文字/小文字)、句読点などの制約など、ユーザーパスワードに特定の制限を適用します。また、ユーザーに定期的にパスワードを変更するように強制します(パスワード有効期限機能)。

ユーザー名列挙防止–

デフォルトでは、Drupalは、入力されたユーザー名が存在しないか存在するか(他の資格情報が間違っている場合)を通知します。 これは、ハッカーが実際に有効なユーザー名を見つけるためだけにランダムなユーザー名を入力しようとしている場合に役立ちます。 このモジュールは、Drupalのセキュリティを有効にし、標準のエラーメッセージを変更することでそのような攻撃を防ぎます。

コンテンツアクセス-

名前が示すように、このモジュールを使用すると、コンテンツへのより詳細なアクセス制御を行うことができます。 各コンテンツタイプは、カスタムビュー、編集、または削除のアクセス許可で指定できます。 コンテンツタイプの権限は、役割と作成者ごとに管理できます。

コーダー-

コードの抜け穴も攻撃者に道を譲ることができます。 Coderモジュール(IDEをサポートするコマンドラインツール)は、Drupalコードを調べて、コーディングのベストプラクティスに従わなかった場所を知らせます。

セキュリティキット-

このDrupalセキュリティモジュールは、多くのリスク処理機能を提供します。 このDrupal88セキュリティモジュールを使用すると、クロスサイトスクリプティング(またはスニッフィング)、CSRF、クリックジャッキング、盗聴攻撃などの脆弱性を簡単に処理および軽減できます。

キャプチャ-

人間らしさを証明するのは嫌いですが、CAPTCHAは、不要なスパムボットをフィルタリングするための最高のDrupalセキュリティモジュールの1つです。 このDrupalモジュールは、スパムボットからの自動スクリプト送信を防ぎ、DrupalWebサイトの任意のWebフォームで使用できます。

6.権限を確認します

Drupalを使用すると、管理者、認証済みユーザー、匿名ユーザー、編集者などの複数の役割とユーザーを持つことができます。Webサイトのセキュリティを微調整するには、これらの役割のそれぞれが特定の種類の作業のみを実行することを許可する必要があります。 たとえば、匿名ユーザーには、コンテンツのみを表示するなどの最小限の権限を付与する必要があります。 Drupalをインストールしたり、モジュールを追加したりしたら、各役割にアクセス許可を手動で割り当てて付与することを忘れないでください。

7.HTTPSを取得する

HTTPだけで送信されるトラフィックは、ほとんどの人がスヌープして記録できることをすでにご存知だと思います。 ログインID、パスワード、その他のセッション情報などの情報は、攻撃者によって取得され、悪用される可能性があります。 あなたがeコマースのウェブサイトを持っているなら、それは支払いと個人の詳細を扱うので、これはさらに重要になります。 サーバーにSSL証明書をインストールすると、転送されるデータを暗号化することにより、ユーザーとサーバー間の接続が保護されます。 HTTPS Webサイトは、SEOランキングを上げることもできます。これにより、投資する価値があります。