• Strona główna
  • Artykuły
  • SEO
  • 7 strategii bezpieczeństwa Drupala, które musisz wdrożyć od razu! (Zawiera najlepsze moduły bezpieczeństwa Drupal 8)

7 strategii bezpieczeństwa Drupala, które musisz wdrożyć od razu! (Zawiera najlepsze moduły bezpieczeństwa Drupal 8)

Opublikowany: 2019-09-25

Zabezpieczenie witryny nie jest jednorazowym celem, ale ciągłym procesem, który wymaga dużej uwagi. Zapobieganie katastrofie jest zawsze lepszym rozwiązaniem. Dzięki stronie Drupal 8 możesz mieć pewność, że zespół bezpieczeństwa Drupala zajmie się niektórymi z najważniejszych zagrożeń bezpieczeństwa. Oczywiście, ostatecznie to na Tobie spoczywa obowiązek zapewnienia bezpieczeństwa Twojej witryny, stosując się do najlepszych praktyk bezpieczeństwa Drupal.


Drupal obsługuje miliony stron internetowych, z których wiele obsługuje niezwykle krytyczne dane. Nic dziwnego, że Drupal jest preferowanym systemem CMS dla witryn obsługujących krytyczne informacje, takich jak witryny rządowe, instytucje bankowe i finansowe, sklepy e-commerce itp. Aktualizacje bezpieczeństwa i funkcje Drupala rozwiązują wszystkie 10 największych zagrożeń bezpieczeństwa związanych z OWASP (Open Web Application Security Project )


Drupal 8 jest uważany za jedną z najbezpieczniejszych do tej pory wersji ze względu na przyszłościowe podejście i ciągłe innowacyjne podejście. Zespół ds. bezpieczeństwa Drupala wydał również program nagród za bezpieczeństwo na sześć miesięcy przed wydaniem Drupala 8. Za jego pośrednictwem użytkownicy zostali zaproszeni do testowania i znajdowania (i zgłaszania) błędów w Drupalu 8. I nawet otrzymywali za to zapłatę!

Luki w zabezpieczeniach Drupala

Nie trzeba dodawać, że społeczność bardzo poważnie traktuje bezpieczeństwo w Drupalu i wydaje aktualizacje/łatki bezpieczeństwa Drupala. Zespół ds. bezpieczeństwa Drupala jest zawsze proaktywny i gotowy do wprowadzania poprawek, nawet zanim luka zostanie upubliczniona. Na przykład zespół ds. bezpieczeństwa Drupala opublikował aktualizację luki w zabezpieczeniach - SA-CORE-2018-002 dni przed jej faktycznym wykorzystaniem (Drupalgeddon2). Wkrótce pojawiły się łatki i aktualizacje bezpieczeństwa Drupala, które doradzały administratorom witryny Drupal, aby zaktualizowali swoją stronę internetową.


Cytując Driesa z jednego z jego blogów na temat luki w zabezpieczeniach – „Zespół bezpieczeństwa Drupala stosuje „politykę skoordynowanego ujawniania”: problemy pozostają prywatne, dopóki nie zostanie opublikowana poprawka. Publiczne ogłoszenie następuje po usunięciu zagrożenia i udostępnieniu bezpiecznej wersji rdzenia Drupala. Nawet gdy udostępniona jest poprawka błędu, Drupal Security Team jest bardzo przemyślany w swojej komunikacji.


Kilka interesujących spostrzeżeń na temat statystyk podatności Drupala według CVE Szczegóły:

zabezpieczenie Drupalowe

luki w zabezpieczeniach drupala

1. Zachowaj spokój i bądź na bieżąco – aktualizacje zabezpieczeń Drupala

Zespół ds. bezpieczeństwa Drupala jest zawsze na nogach, szukając luk w zabezpieczeniach. Jak tylko je znajdą, łatki / aktualizacje bezpieczeństwa Drupala są natychmiast publikowane. Ponadto, po Drupal 8 i ciągłym wprowadzaniu innowacji, drobne wydania są częstsze. Doprowadziło to do łatwych i szybkich aktualizacji Drupala do lepszej, bezpieczniejszej wersji.
Upewnienie się, że Twoja wersja Drupala i moduły są aktualne, to naprawdę najmniej, co możesz zrobić, aby zapewnić bezpieczeństwo swojej stronie. Współtwórcy Drupala są na bieżąco i zawsze szukają zagrożeń dla bezpieczeństwa, które mogą oznaczać katastrofę. Aktualizacje bezpieczeństwa Drupala zawierają nie tylko nowe funkcje, ale także łatki bezpieczeństwa i poprawki błędów. Aktualizacje i ogłoszenia dotyczące bezpieczeństwa Drupala są wysyłane na e-maile użytkowników, a administratorzy witryn muszą aktualizować ich wersje, aby zapewnić bezpieczeństwo w Drupalu.

2. Zarządzaj swoimi danymi wejściowymi

Większość interaktywnych stron internetowych zbiera dane wejściowe od użytkownika. Jako administratorzy witryny, o ile nie zarządzasz tymi danymi wejściowymi i nie obsługujesz ich odpowiednio, jesteś narażony na wysokie ryzyko. Hakerzy mogą wstrzykiwać kody SQL, które mogą poważnie uszkodzić dane Twojej witryny.
Powstrzymywanie użytkowników przed wprowadzaniem konkretnych słów SQL, takich jak „WYBIERZ”, „DROP” lub „DELETE”, może zaszkodzić wrażeniu użytkownika na Twojej stronie. Zamiast tego, dzięki bezpieczeństwu w Drupalu, możesz użyć funkcji ucieczki lub filtrowania dostępnych w API bazy danych, aby usunąć i odfiltrować takie szkodliwe wstrzyknięcia SQL. Oczyszczenie kodu to najważniejszy krok w kierunku bezpiecznej witryny Drupal.

3. Bezpieczeństwo Drupala 8

W jaki sposób Drupal 8 pomaga w budowaniu solidniejszej i bezpieczniejszej strony internetowej? Oto kilka funkcji bezpieczeństwa Drupala 8 -

  • Symfony – Drupal 8 zaadoptował framework Symfony, co otworzyło drzwi dla znacznie większej liczby programistów, poza ograniczeniem ich tylko do głównych programistów Drupala. Symfony jest nie tylko bezpieczniejszym frameworkiem, ale także przyciągnął więcej programistów z różnymi spostrzeżeniami, aby naprawić błędy i tworzyć łatki bezpieczeństwa.
  • Szablony Twig – jak właśnie omówiliśmy oczyszczenie kodu w celu lepszej obsługi danych wejściowych, oto, aby powiedzieć, że w Drupal 8 już się tym zajęliśmy. W jaki sposób? Dzięki przyjęciu przez Drupala 8 Twiga jako silnika szablonów. Dzięki Twig nie będziesz potrzebować dodatkowego filtrowania i unikania danych wejściowych, ponieważ jest on automatycznie oczyszczany. Dodatkowo, ponieważ wymuszanie przez Twig oddzielnych warstw między logiką a prezentacją, uniemożliwia uruchamianie zapytań SQL lub niewłaściwe użycie warstwy motywu.
  • Bardziej bezpieczny WYSIWYG - Edytor WYSIWYG w Drupalu jest świetnym narzędziem do edycji dla użytkowników, ale może być również niewłaściwie wykorzystany do przeprowadzania ataków typu XSS. Drupal 8, zgodnie z najlepszymi praktykami bezpieczeństwa Drupal, pozwala teraz używać tylko filtrowanych formatów HTML. Ponadto, aby zapobiec niewłaściwemu używaniu obrazów przez użytkowników i CSRF (fałszerstwo żądań między witrynami), podstawowe filtrowanie tekstu Drupala 8 pozwala użytkownikom używać tylko lokalnych obrazów.
  • Inicjatywa zarządzania konfiguracją (CMI) — ta inicjatywa Drupal 8 świetnie sprawdza się dla administratorów i właścicieli witryn, ponieważ pozwala im śledzić konfigurację w kodzie. Wszelkie zmiany w konfiguracji witryny będą śledzone i kontrolowane, co pozwala na ścisłą kontrolę konfiguracji witryny.

4. Mądrze wybieraj moduły Drupala

Zanim zainstalujesz moduł, sprawdź, jaka jest jego aktywność. Czy twórcy modułów są wystarczająco aktywni? Czy często publikują aktualizacje bezpieczeństwa Drupala? Czy został pobrany wcześniej, czy jesteś pierwszym kozłem ofiarnym? Wszystkie wymienione szczegóły znajdziesz na dole strony pobierania modułów. Upewnij się również, że Twoje moduły są zaktualizowane i odinstaluj te, których już nie używasz.

5. Moduły bezpieczeństwa Drupal na ratunek

Tak jak ubrania warstwowe działają lepiej niż jeden gruby sweter, aby utrzymać ciepło w zimie, tak Twoja witryna jest najlepiej chroniona w warstwowym podejściu. Moduły bezpieczeństwa Drupal mogą zapewnić Twojej witrynie dodatkową warstwę bezpieczeństwa. Niektóre z najlepszych modułów bezpieczeństwa Drupal 8, których musisz użyć na swojej stronie internetowej –

Bezpieczeństwo logowania do Drupala

Moduł ten zapewnia bezpieczeństwo w Drupalu, umożliwiając administratorowi serwisu dodanie różnych ograniczeń dotyczących logowania użytkowników. Moduł bezpieczeństwa logowania do Drupala może ograniczyć liczbę nieprawidłowych prób logowania przed zablokowaniem kont. Dostęp do adresów IP można odmówić tymczasowo lub na stałe.

Uwierzytelnianie dwuskładnikowe –

Dzięki temu modułowi bezpieczeństwa Drupal możesz dodać dodatkową warstwę uwierzytelniania, gdy użytkownik zaloguje się za pomocą identyfikatora użytkownika i hasła. Jak wpisanie kodu, który został wysłany na ich telefon komórkowy.

Polityka haseł –

Jest to świetny moduł bezpieczeństwa Drupal, który pozwala dodać kolejną warstwę bezpieczeństwa do formularzy logowania, zapobiegając botom i innym naruszeniom bezpieczeństwa. Wymusza pewne ograniczenia dotyczące haseł użytkowników – takie jak ograniczenia dotyczące długości, rodzaju znaków, wielkości liter (wielkie/małe litery), interpunkcji itp. Zmusza również użytkowników do regularnej zmiany haseł (funkcja wygasania hasła).

Zapobieganie wyliczaniu nazw użytkowników –

Domyślnie Drupal informuje, czy wprowadzona nazwa użytkownika nie istnieje lub istnieje (jeśli inne dane są nieprawidłowe). Może to być świetne, jeśli haker próbuje wprowadzić losową nazwę użytkownika tylko po to, aby dowiedzieć się, która jest rzeczywiście ważna. Moduł ten zapewnia bezpieczeństwo w Drupalu i zapobiega takim atakom poprzez zmianę standardowego komunikatu o błędzie.

Dostęp do treści —

Jak sama nazwa wskazuje, ten moduł pozwala na bardziej szczegółową kontrolę dostępu do treści. Każdy typ treści można określić z niestandardowymi uprawnieniami do wyświetlania, edycji lub usuwania. Możesz zarządzać uprawnieniami do typów zawartości według roli i autora.

Koder -

Luki w twoim kodzie mogą również zrobić miejsce dla atakującego. Moduł Coder (narzędzie wiersza poleceń z obsługą IDE) przechodzi przez Twój kod Drupala i informuje Cię, gdzie nie stosowałeś najlepszych praktyk kodowania.

Zestaw bezpieczeństwa -

Ten moduł bezpieczeństwa Drupal oferuje wiele funkcji zarządzania ryzykiem. Podatności, takie jak cross-site scripting (lub sniffing), CSRF, Clickjacking, ataki podsłuchowe i inne, można łatwo obsłużyć i złagodzić za pomocą tego modułu bezpieczeństwa Drupal 88.

Captcha —

Jakkolwiek nie znosimy udowadniać naszego człowieczeństwa, CAPTCHA jest prawdopodobnie jednym z najlepszych modułów bezpieczeństwa Drupala do filtrowania niechcianych robotów spamujących. Ten moduł Drupal zapobiega automatycznemu wysyłaniu skryptów przez spamboty i może być używany w dowolnej formie internetowej witryny Drupal

6. Sprawdź swoje uprawnienia

Drupal pozwala na posiadanie wielu ról i użytkowników, takich jak administratorzy, użytkownicy uwierzytelnieni, użytkownicy anonimowi, redaktorzy itp. Aby dostosować bezpieczeństwo witryny, każda z tych ról powinna mieć możliwość wykonywania tylko określonego rodzaju pracy. Na przykład anonimowemu użytkownikowi należy przyznać najmniej uprawnień, takich jak tylko wyświetlanie treści. Po zainstalowaniu Drupala i/lub dodaniu kolejnych modułów nie zapomnij ręcznie przypisać i przyznać uprawnień dostępu do każdej roli.

7. Pobierz HTTPS

Założę się, że już wiedziałeś, że każdy ruch przesyłany tylko przez HTTP może zostać przechwycony i zarejestrowany przez prawie każdego. Informacje takie jak identyfikator logowania, hasło i inne informacje o sesji mogą zostać przechwycone i wykorzystane przez atakującego. Jeśli masz witrynę e-commerce, staje się to jeszcze bardziej krytyczne, ponieważ dotyczy płatności i danych osobowych. Zainstalowanie certyfikatu SSL na serwerze zabezpieczy połączenie między użytkownikiem a serwerem poprzez szyfrowanie przesyłanych danych. Witryna HTTPS może również poprawić Twój ranking SEO – co sprawia, że ​​jest całkowicie warta inwestycji.