• Anasayfa
  • Nesne
  • SEO
  • Hemen uygulamanız gereken 7 Drupal Güvenlik Stratejisi! (En iyi Drupal 8 Güvenlik Modüllerini içerir)

Hemen uygulamanız gereken 7 Drupal Güvenlik Stratejisi! (En iyi Drupal 8 Güvenlik Modüllerini içerir)

Yayınlanan: 2019-09-25

Web sitenizin güvenliğini sağlamak tek seferlik bir hedef değil, çok fazla dikkatinizi gerektiren devam eden bir süreçtir. Bir felaketi önlemek her zaman daha iyi bir seçenektir. Bir Drupal 8 web sitesiyle, en önemli güvenlik risklerinden bazılarının Drupal güvenlik ekibi tarafından halledildiğinden emin olabilirsiniz. Elbette, sonuçta, Drupal güvenlik en iyi uygulamalarını takip ederek web sitenizin güvenli ve emniyetli olmasını sağlamak sizin sorumluluğunuzdadır.


Drupal, çoğu son derece kritik verileri işleyen milyonlarca web sitesine güç verdi. Şaşırtıcı olmayan bir şekilde Drupal, devlet web siteleri, bankacılık ve finans kurumları, e-Ticaret mağazaları vb. gibi kritik bilgileri işleyen web siteleri için tercih edilen CMS olmuştur. Drupal güvenlik güncellemeleri ve özellikleri, OWASP'ın (Açık Web Uygulaması Güvenlik Projesi) en önemli 10 güvenlik riskini ele almaktadır. )


Drupal 8, ileri görüşlü ve sürekli yenilik yaklaşımı nedeniyle bugüne kadarki en güvenli sürümlerden biri olarak kabul ediliyor. Drupal güvenlik ekibi ayrıca Drupal 8'in yayınlanmasından altı ay önce bir güvenlik ödül programı yayınlamıştı. Bu program aracılığıyla, kullanıcılar Drupal 8'de test çalıştırmaya ve hataları bulmaya (ve raporlamaya) davet edildiler. Hatta bunun için para bile aldılar!

Drupal Güvenlik Açıkları

Topluluğun Drupal'da güvenliği çok ciddiye aldığını ve Drupal güvenlik güncellemelerini / yamalarını yayınlamaya devam ettiğini söylemeye gerek yok. Drupal güvenlik ekibi, bir güvenlik açığı halka açılmadan önce bile her zaman proaktif ve yamalar ile hazırdır. Örneğin, Drupal güvenlik ekibi, güvenlik açığı güncellemesini - SA-CORE-2018-002, gerçekten yararlanılmadan önce yayınladı (Drupalgeddon2). Drupal site yöneticilerine web sitelerini güncellemelerini tavsiye eden yamalar ve Drupal güvenlik güncellemeleri yakında yayınlandı.


Güvenlik açığıyla ilgili bloglarından birinden Dries'den alıntı yapıyor: “Drupal Güvenlik Ekibi, "koordineli bir ifşa politikası" izliyor: sorunlar, yayınlanan bir düzeltme olana kadar gizli kalıyor. Tehdit ele alındığında ve Drupal çekirdeğinin güvenli bir sürümü mevcut olduğunda bir kamu duyurusu yapılır. Bir hata düzeltmesi sunulduğunda bile, Drupal Güvenlik Ekibi iletişimi konusunda çok düşüncelidir.


CVE Details tarafından Drupal'ın güvenlik açığı istatistikleri hakkında bazı ilginç bilgiler:

drupal güvenlik

drupal güvenlik açıkları

1. Sakin Olun ve Güncel Kalın – Drupal Güvenlik Güncellemeleri

Drupal güvenlik ekibi, güvenlik açıklarını aramak için her zaman tetikte. Birini bulur bulmaz yamalar / Drupal güvenlik güncellemeleri hemen yayınlanır. Ayrıca, Drupal 8 ve sürekli yeniliğin benimsenmesinden sonra, küçük sürümler daha sık görülür. Bu, daha iyi, daha güvenli bir sürümün kolay ve hızlı Drupal güncellemelerine yol açtı.
Drupal sürümünüzün ve modüllerinizin güncel olduğundan emin olmak, web sitenizin güvenliğini sağlamak için yapabileceğiniz en az şeydir. Drupal katkıda bulunanlar her şeyin üstünde kalıyor ve her zaman felakete yol açabilecek herhangi bir güvenlik tehdidi arıyorlar. Drupal güvenlik güncellemeleri yalnızca yeni özelliklerle değil, aynı zamanda güvenlik yamaları ve hata düzeltmeleriyle de gelir. Drupal güvenlik güncellemeleri ve duyuruları, kullanıcıların e-postalarına gönderilir ve site yöneticileri, Drupal'da güvenliği sağlamak için sürümlerini güncel tutmak zorundadır.

2. Girişlerinizi yönetin

Çoğu etkileşimli web sitesi, bir kullanıcıdan girdi toplar. Web sitesi yöneticileri olarak, bu girdileri uygun şekilde yönetmez ve işlemezseniz yüksek güvenlik riskiyle karşı karşıya kalırsınız. Bilgisayar korsanları, web sitenizin verilerine büyük zarar verebilecek SQL kodları enjekte edebilir.
Kullanıcılarınızın "SELECT" veya "DROP" veya "DELETE" gibi SQL'e özgü sözcükleri girmesini engellemek, web sitenizin kullanıcı deneyimine zarar verebilir. Bunun yerine, Drupal'daki güvenlikle, bu tür zararlı SQL enjeksiyonlarını ayıklamak ve filtrelemek için veritabanı API'sinde bulunan kaçış veya filtreleme işlevlerini kullanabilirsiniz. Kodunuzu sterilize etmek, güvenli bir Drupal web sitesine giden en önemli adımdır.

3. Drupal 8 Güvenlik

Drupal 8 daha sağlam ve güvenli bir web sitesi oluşturmaya nasıl yardımcı oluyor? İşte birkaç Drupal 8 güvenlik özelliği -

  • Symfony – Drupal 8, Symfony çerçevesini benimseyerek, onları yalnızca temel Drupal geliştiricileriyle sınırlamak dışında çok daha fazla geliştiriciye kapı açtı. Symfony sadece daha güvenli bir çerçeve olmakla kalmıyor, aynı zamanda hataları düzeltmek ve güvenlik yamaları oluşturmak için farklı anlayışlara sahip daha fazla geliştirici getirdi.
  • Twig Şablonları – Girdileri daha iyi işlemek için kodunuzu temizleme hakkında az önce tartıştığımız gibi, Drupal 8 ile bunun zaten halledildiğini söylemek için buradayız. Nasıl? Drupal 8'in Twig'i şablonlama motoru olarak benimsemesi sayesinde. Twig ile, otomatik olarak sterilize edildiğinden, herhangi bir ek filtrelemeye ve girdilerin kaçmasına ihtiyacınız olmayacak. Ek olarak, Twig'in mantık ve sunum arasında ayrı katmanları zorlaması, SQL sorgularını çalıştırmayı veya tema katmanını yanlış kullanmayı imkansız hale getirir.
  • Daha Güvenli WYSIWYG - Drupal'daki WYSIWYG editörü, kullanıcılar için harika bir düzenleme aracıdır ancak XSS saldırıları gibi saldırılar gerçekleştirmek için de kötüye kullanılabilir. Drupal 8, en iyi Drupal güvenlik uygulamalarını takip ettiğinden, artık yalnızca filtrelenmiş HTML biçimlerinin kullanılmasına izin veriyor. Ayrıca, kullanıcıların görüntüleri kötüye kullanmasını önlemek ve CSRF'yi (siteler arası istek sahteciliği) önlemek için Drupal 8'in temel metin filtrelemesi, kullanıcıların yalnızca yerel görüntüleri kullanmasına olanak tanır.
  • Konfigürasyon Yönetimi Girişimi (CMI) – Bu Drupal 8 girişimi, koddaki konfigürasyonu izlemelerine izin verdiği için site yöneticileri ve sahipleri için harika çalışıyor. Herhangi bir site yapılandırma değişikliği izlenecek ve denetlenecek ve web sitesi yapılandırması üzerinde sıkı kontrole izin verilecektir.

4. Drupal modüllerinizi akıllıca seçin

Bir modülü kurmadan önce, ne kadar aktif olduğuna baktığınızdan emin olun. Modül geliştiricileri yeterince aktif mi? Drupal güvenlik güncellemelerini sık sık yayınlıyorlar mı? Daha önce indirildi mi yoksa ilk günah keçisi siz misiniz? Bahsedilen tüm detayları modüllerin indirme sayfasının altında bulacaksınız. Ayrıca modüllerinizin güncellendiğinden emin olun ve artık kullanmadığınız modülleri kaldırın.

5. Drupal Güvenlik Modülleri kurtarmaya geliyor

Katmanlı giysilerin kışın sıcak tutmak için kalın bir kazaktan daha iyi çalışması gibi, web siteniz de katmanlı bir yaklaşımla en iyi şekilde korunur. Drupal güvenlik modülleri, web sitenize çevresinde ekstra bir güvenlik katmanı sağlayabilir. Web siteniz için kullanmanız gereken en iyi Drupal 8 güvenlik modüllerinden bazıları –

Drupal Giriş Güvenliği

Bu modül, site yöneticisinin kullanıcı oturum açma işlemine çeşitli kısıtlamalar eklemesine izin vererek Drupal'da güvenliği sağlar. Drupal oturum açma güvenlik modülü, hesapları engellemeden önce geçersiz oturum açma denemelerinin sayısını sınırlayabilir. IP adresleri için erişim geçici veya kalıcı olarak reddedilebilir.

İki faktörlü Kimlik Doğrulama –

Bu Drupal güvenlik modülüyle, kullanıcınız bir kullanıcı kimliği ve parola ile oturum açtığında fazladan bir kimlik doğrulama katmanı ekleyebilirsiniz. Cep telefonlarına gönderilen bir kodu girmek gibi.

Şifre politikası -

Bu, oturum açma formlarınıza başka bir güvenlik katmanı eklemenize izin veren harika bir Drupal güvenlik modülüdür, bu da botları ve diğer güvenlik ihlallerini önler. Kullanıcı parolalarında uzunluk, karakter türü, büyük/küçük harf (büyük/küçük harf), noktalama vb. kısıtlamaları gibi belirli kısıtlamalar uygular. Ayrıca kullanıcıları parolalarını düzenli olarak değiştirmeye zorlar (parola süre sonu özelliği).

Kullanıcı Adı Numaralandırma Engelleme –

Varsayılan olarak, Drupal, girilen kullanıcı adının var olup olmadığını veya var olup olmadığını (diğer kimlik bilgileri yanlışsa) size bildirir. Bir bilgisayar korsanı yalnızca gerçekten geçerli olanı bulmak için rastgele kullanıcı adları girmeye çalışıyorsa bu harika olabilir. Bu modül, Drupal'da güvenliği sağlar ve standart hata mesajını değiştirerek bu tür saldırıları önler.

İçerik Erişimi -

Adından da anlaşılacağı gibi, bu modül içeriğinize daha ayrıntılı erişim kontrolü vermenizi sağlar. Her içerik türü, özel bir görünüm, düzenleme veya silme izinleriyle belirlenebilir. İçerik türleri için izinleri role ve yazara göre yönetebilirsiniz.

kodlayıcı -

Kodunuzdaki boşluklar da bir saldırganın yolunu açabilir. Coder modülü (IDE destekli bir komut satırı aracı) Drupal kodunuzdan geçer ve en iyi kodlama uygulamalarını nerede izlemediğinizi size bildirir.

Güvenlik Kiti -

Bu Drupal güvenlik modülü, birçok risk işleme özelliği sunar. Siteler arası komut dosyası çalıştırma (veya koklama), CSRF, Clickjacking, gizli dinleme saldırıları ve daha fazlası gibi güvenlik açıkları, bu Drupal 88 güvenlik modülü ile kolayca işlenebilir ve azaltılabilir.

Captcha -

İnsanlığımızı kanıtlamaktan ne kadar nefret etsek de, CAPTCHA muhtemelen istenmeyen spam robotlarını filtrelemek için mevcut en iyi Drupal güvenlik modüllerinden biridir. Bu Drupal modülü, spam robotlarından otomatik komut dosyası gönderimlerini önler ve bir Drupal web sitesinin herhangi bir web biçiminde kullanılabilir

6. İzinlerinizi Kontrol Edin

Drupal, yöneticiler, kimliği doğrulanmış kullanıcılar, anonim kullanıcılar, editörler vb. gibi birden çok role ve kullanıcıya sahip olmanıza olanak tanır. Web sitenizin güvenliğine ince ayar yapmak için, bu rollerin her birinin yalnızca belirli bir iş türünü gerçekleştirmesine izin verilmelidir. Örneğin, anonim bir kullanıcıya yalnızca içeriği görüntüleme gibi en az izin verilmelidir. Drupal'ı yükledikten ve/veya daha fazla modül ekledikten sonra, her role manuel olarak erişim izinleri atamayı ve vermeyi unutmayın.

7. HTTPS'yi Alın

Bahse girerim, yalnızca bir HTTP üzerinden iletilen herhangi bir trafiğin hemen hemen herkes tarafından gözetlenip kaydedilebileceğini zaten biliyordunuz. Oturum açma kimliğiniz, parolanız ve diğer oturum bilgileriniz gibi bilgiler bir saldırgan tarafından ele geçirilebilir ve bunlardan yararlanılabilir. Bir e-Ticaret web siteniz varsa, ödeme ve kişisel ayrıntılarla ilgilendiğinden bu daha da kritik hale gelir. Sunucunuza bir SSL sertifikası yüklemek, aktarılan verileri şifreleyerek kullanıcı ile sunucu arasındaki bağlantıyı güvence altına alır. Bir HTTPS web sitesi, SEO sıralamanızı da artırabilir - bu da onu yatırıma tamamen değer kılar.