7 стратегий безопасности Drupal, которые нужно реализовать прямо сейчас! (Включает лучшие модули безопасности Drupal 8)

Защита вашего веб-сайта - это не единовременная цель, а постоянный процесс, требующий вашего внимания. Предотвращение катастрофы - всегда лучший вариант. С веб-сайтом Drupal 8 вы можете быть уверены, что некоторые из основных рисков безопасности будут устранены командой безопасности Drupal. Конечно, в конечном итоге ответственность за обеспечение безопасности вашего веб-сайта лежит на вас, следуя лучшим практикам безопасности Drupal.

Drupal поддерживает миллионы веб-сайтов, многие из которых обрабатывают чрезвычайно важные данные. Неудивительно, что Drupal была предпочтительной CMS для веб-сайтов, которые обрабатывают критически важную информацию, таких как правительственные веб-сайты, банковские и финансовые учреждения, магазины электронной коммерции и т. Д. Обновления безопасности и функции Drupal устраняют все 10 основных рисков безопасности OWASP (Open Web Application Security Project). )

На сегодняшний день Drupal 8 считается одной из самых безопасных версий благодаря своему дальновидному и непрерывному инновационному подходу. Группа безопасности Drupal также выпустила программу вознаграждений за безопасность за шесть месяцев до выпуска Drupal 8. С помощью этой программы пользователям предлагалось протестировать и найти (и сообщить) об ошибках в Drupal 8. И им даже заплатили за это!

Уязвимости в системе безопасности Drupal

Само собой разумеется, что сообщество очень серьезно относится к безопасности в Drupal и продолжает выпускать обновления / исправления безопасности Drupal. Команда безопасности Drupal всегда активна и готова внести исправления еще до того, как уязвимость станет общедоступной. Например, группа безопасности Drupal выпустила обновление уязвимости безопасности SA-CORE-2018-002 за несколько дней до фактического использования (Drupalgeddon2). Вскоре были выпущены исправления и обновления безопасности Drupal, в которых администраторам сайтов Drupal было рекомендовано обновить свои сайты.

Цитата Дриса из одного из его блогов об уязвимости системы безопасности: «Группа безопасности Drupal придерживается« согласованной политики раскрытия информации »: проблемы остаются закрытыми до тех пор, пока не будет опубликовано исправление. Когда угроза устранена и доступна защищенная версия ядра Drupal, делается публичное объявление. Даже когда исправление ошибки доступно, команда безопасности Drupal очень внимательна к общению. «

Некоторые интересные выводы о статистике уязвимостей Drupal от CVE Подробности:

1. Сохраняйте спокойствие и оставайтесь в курсе - обновления безопасности Drupal

Команда безопасности Drupal всегда в напряжении, выискивая уязвимости. Как только они его находят, сразу же выпускаются патчи / обновления безопасности Drupal. Кроме того, после Drupal 8 и внедрения непрерывных инноваций мелкие выпуски стали более частыми. Это привело к легкому и быстрому обновлению Drupal до лучшей и более безопасной версии.
Убедитесь, что ваша версия и модули Drupal обновлены - это действительно меньшее, что вы можете сделать для обеспечения безопасности своего веб-сайта. Разработчики Drupal следят за происходящим и всегда ищут любые угрозы безопасности, которые могут привести к катастрофе. Обновления безопасности Drupal включают не только новые функции, но также исправления безопасности и исправления ошибок. Обновления безопасности Drupal и объявления отправляются по электронной почте пользователей, и администраторы сайтов должны обновлять свои версии для обеспечения безопасности в Drupal.

2. Управляйте своим вкладом

Большинство интерактивных веб-сайтов собирают информацию от пользователя. Как администраторы веб-сайтов, если вы не управляете и не обрабатываете эти данные должным образом, вы подвергаетесь высокому риску безопасности. Хакеры могут вводить коды SQL, которые могут нанести большой вред данным вашего сайта.
Запрещение пользователям вводить специфические слова SQL, такие как «ВЫБРАТЬ», «УДАЛИТЬ» или «УДАЛИТЬ», может нанести вред пользовательскому интерфейсу вашего веб-сайта. Вместо этого, с безопасностью в Drupal, вы можете использовать функции экранирования или фильтрации, доступные в API базы данных, для удаления и фильтрации таких вредоносных SQL-инъекций. Дезинфекция вашего кода - самый важный шаг на пути к безопасному веб-сайту Drupal.

3. Безопасность Drupal 8

Как Drupal 8 помогает в создании более надежного и безопасного веб-сайта? Вот несколько функций безопасности Drupal 8 -

• Symfony - с принятием Drupal 8 фреймворка Symfony он открыл двери для гораздо большего числа разработчиков, не ограничивая их только основными разработчиками Drupal. Symfony не только более безопасный фреймворк, но и привлек больше разработчиков с разными взглядами на исправление ошибок и создание патчей безопасности.
• Шаблоны Twig. Поскольку мы только что обсуждали очистку кода для лучшей обработки входных данных, я хочу сказать вам, что в Drupal 8 об этом уже позаботились. Как? Благодаря тому, что Drupal 8 принял Twig в качестве движка для создания шаблонов. С Twig вам не потребуется дополнительная фильтрация и экранирование входных данных, так как он автоматически дезинфицируется. Кроме того, поскольку Twig применяет отдельные уровни между логикой и представлением, выполнение запросов SQL или неправильное использование слоя темы невозможно.
• Более безопасный WYSIWYG - редактор WYSIWYG в Drupal - отличный инструмент редактирования для пользователей, но его также можно использовать для проведения атак, таких как XSS-атаки. Благодаря тому, что Drupal 8 следует лучшим практикам безопасности Drupal, теперь он позволяет использовать только отфильтрованные форматы HTML. Кроме того, для предотвращения неправильного использования изображений пользователями и предотвращения CSRF (подделки межсайтовых запросов) основная фильтрация текста в Drupal 8 позволяет пользователям использовать только локальные изображения.
• Инициатива управления конфигурацией (CMI) - эта инициатива Drupal 8 отлично подходит для администраторов и владельцев сайтов, поскольку позволяет им отслеживать конфигурацию в коде. Любые изменения конфигурации сайта будут отслеживаться и проверяться, что позволяет строго контролировать конфигурацию сайта.

4. Тщательно выбирайте модули Drupal.

Перед установкой модуля обязательно посмотрите, насколько он активен. Достаточно ли активны разработчики модуля? Часто ли они выпускают обновления безопасности Drupal? Скачали его раньше или вы первый козел отпущения? Вы найдете все упомянутые детали внизу страницы загрузки модулей. Также убедитесь, что ваши модули обновлены, и удалите те, которые вы больше не используете.

5. Модули безопасности Drupal спешат на помощь

Подобно тому, как многослойная одежда лучше согревает зимой, чем толстый пуловер, ваш веб-сайт лучше всего защищен при многослойном подходе. Модули безопасности Drupal могут дать вашему сайту дополнительный уровень безопасности. Некоторые из лучших модулей безопасности Drupal 8, которые вы должны использовать для своего веб-сайта -

Безопасность входа в Drupal -

Этот модуль обеспечивает безопасность в Drupal, позволяя администратору сайта добавлять различные ограничения на вход пользователя. Модуль безопасности входа в систему Drupal может ограничить количество недействительных попыток входа в систему перед блокировкой учетных записей. Доступ может быть запрещен для IP-адресов временно или постоянно.

Двухфакторная аутентификация -

С помощью этого модуля безопасности Drupal вы можете добавить дополнительный уровень аутентификации после того, как ваш пользователь войдет в систему с идентификатором пользователя и паролем. Например, ввести код, отправленный на их мобильный телефон.

Политика паролей -

Это отличный модуль безопасности Drupal, который позволяет вам добавить еще один уровень безопасности к вашим формам входа в систему, предотвращая ботов и другие нарушения безопасности. Он налагает определенные ограничения на пароли пользователей, такие как ограничения на длину, тип символа, регистр (верхний / нижний регистр), пунктуацию и т. Д. Он также заставляет пользователей регулярно менять свои пароли (функция истечения срока действия пароля).

Предотвращение перечисления имен пользователей -

По умолчанию Drupal сообщает вам, если введенное имя пользователя не существует или существует (если другие учетные данные неверны). Это может быть замечательно, если хакер пытается ввести случайные имена пользователей только для того, чтобы найти действительное. Этот модуль обеспечивает безопасность в Drupal и предотвращает такие атаки, изменяя стандартное сообщение об ошибке.

Доступ к контенту -

Как следует из названия, этот модуль позволяет вам более подробно контролировать доступ к вашему контенту. Для каждого типа контента можно указать индивидуальные разрешения на просмотр, редактирование или удаление. Вы можете управлять разрешениями для типов контента по ролям и автору.

Кодер -

Бреши в вашем коде также могут уступить дорогу злоумышленнику. Модуль Coder (инструмент командной строки с поддержкой IDE) просматривает ваш код Drupal и сообщает вам, где вы не следовали лучшим методам кодирования.

Комплект безопасности -

Этот модуль безопасности Drupal предлагает множество функций управления рисками. Уязвимости, такие как межсайтовый скриптинг (или сниффинг), CSRF, Clickjacking, атаки с перехватом и другие, можно легко обработать и уменьшить с помощью этого модуля безопасности Drupal 88.

Captcha -

Как бы мы ни ненавидели доказывать свою человечность, CAPTCHA, вероятно, является одним из лучших модулей безопасности Drupal для фильтрации нежелательных спам-ботов. Этот модуль Drupal предотвращает автоматическую отправку скриптов от спам-ботов и может использоваться в любой веб-форме сайта Drupal.

6. Проверьте свои разрешения.

Drupal позволяет вам иметь несколько ролей и пользователей, таких как администраторы, аутентифицированные пользователи, анонимные пользователи, редакторы и т. Д. Для точной настройки безопасности вашего веб-сайта каждой из этих ролей должно быть разрешено выполнять только определенный тип работы. Например, анонимный пользователь должен иметь минимум разрешений, например только просмотр содержимого. После установки Drupal и / или добавления дополнительных модулей не забудьте вручную назначить и предоставить права доступа для каждой роли.

7. Получите HTTPS.

Готов поспорить, вы уже знали, что любой трафик, передаваемый только по протоколу HTTP, может быть отслежен и записан практически кем угодно. Такая информация, как ваш логин, пароль и другая информация о сеансе, может быть захвачена и использована злоумышленником. Если у вас есть веб-сайт электронной коммерции, это становится еще более важным, поскольку он касается оплаты и личных данных. Установка сертификата SSL на ваш сервер защитит соединение между пользователем и сервером за счет шифрования передаваемых данных. Веб-сайт HTTPS также может повысить ваш SEO-рейтинг, что полностью оправдывает вложенные в него средства.