• 主頁
  • 文章
  • SEO
  • 您需要立即實施的 7 個 Drupal 安全策略! (包括頂級 Drupal 8 安全模塊)

您需要立即實施的 7 個 Drupal 安全策略! (包括頂級 Drupal 8 安全模塊)

已發表: 2019-09-25

保護您的網站不是一個一次性的目標,而是一個需要您高度關注的持續過程。 預防災難總是更好的選擇。 使用 Drupal 8 網站,您可以放心,Drupal 安全團隊會處理一些頂級安全風險。 當然,最終,您有責任通過遵循 Drupal 安全最佳實踐來確保您的網站安全可靠。


Drupal 已為數百萬個網站提供支持,其中許多網站處理極其關鍵的數據。 不出所料,Drupal 一直是處理政府網站、銀行和金融機構、電子商務商店等關鍵信息的網站的首選 CMS。Drupal 安全更新和功能解決了 OWASP(開放 Web 應用程序安全項目)的所有 10 大安全風險)


Drupal 8 被認為是迄今為止最安全的版本之一,因為它具有前瞻性和持續創新的方法。 Drupal 安全團隊還在 Drupal 8 發布前六個月發布了安全賞金計劃。通過該計劃,用戶被邀請測試運行並發現(和報告)Drupal 8 中的錯誤。他們甚至因此獲得了報酬!

Drupal 安全漏洞

不用說,社區非常重視 Drupal 的安全性,並不斷發布 Drupal 安全更新/補丁。 即使在漏洞公開之前,Drupal 安全團隊也始終積極主動並準備好補丁。 例如,Drupal 安全團隊在實際被利用前幾天發布了安全漏洞更新——SA-CORE-2018-002(Drupalgeddon2)。 補丁和 Drupal 安全更新很快發布,建議 Drupal 站點管理員更新他們的網站。


引用 Dries 的一篇關於安全漏洞的博客—— “Drupal 安全團隊遵循“協調披露政策”:在發布修復程序之前,問題保持私密。 當威脅得到解決並且 Drupal 核心的安全版本也可用時,會發佈公告。 即使提供了錯誤修復,Drupal 安全團隊在溝通方面也非常周到。


CVE Details 對 Drupal 漏洞統計的一些有趣見解:

Drupal 安全

drupal 安全漏洞

1. 保持冷靜並保持更新——Drupal 安全更新

Drupal 安全團隊始終在尋找漏洞。 他們一找到,就會立即發布補丁/Drupal 安全更新。 此外,在 Drupal 8 和採用持續創新之後,次要版本更加頻繁。 這導致了更好、更安全的版本的簡單快速的 Drupal 更新。
確保您的 Drupal 版本和模塊是最新的,實際上是確保網站安全的最起碼的事情。 Drupal 貢獻者始終處於領先地位,並一直在尋找可能導致災難的任何安全威脅。 Drupal 安全更新不僅帶有新功能,還帶有安全補丁和錯誤修復。 Drupal 安全更新和公告發佈到用戶的電子郵件中,站點管理員必須保持他們的版本更新以確保 Drupal 的安全性。

2. 管理您的輸入

大多數交互式網站從用戶那裡收集輸入。 作為網站管理員,除非您適當地管理和處理這些輸入,否則您將面臨高安全風險。 黑客可以注入可能對您網站的數據造成巨大危害的 SQL 代碼。
阻止您的用戶輸入 SQL 特定詞,例如“SELECT”或“DROP”或“DELETE”可能會損害您網站的用戶體驗。 相反,借助 Drupal 中的安全性,您可以使用數據庫 API 中可用的轉義或過濾功能來去除和過濾掉此類有害的 SQL 注入。 清理您的代碼是實現安全 Drupal 網站最關鍵的一步。

3. Drupal 8 安全

Drupal 8 如何幫助構建更強大和安全的網站? 以下是一些 Drupal 8 安全功能 -

  • Symfony – 隨著 Drupal 8 採用 Symfony 框架,它為更多開發人員打開了大門,而不僅僅是將他們限制為核心 Drupal 開發人員。 Symfony 不僅是一個更安全的框架,它還帶來了更多具有不同見解的開發人員來修復錯誤和創建安全補丁。
  • Twig 模板——正如我們剛剛討論的關於清理你的代碼以更好地處理輸入的問題,這裡要告訴你,在 Drupal 8 中,它已經得到了處理。 如何? 感謝 Drupal 8 採用 Twig 作為其模板引擎。 使用 Twig,您將不需要任何額外的過濾和轉義輸入,因為它會自動清理。 此外,由於 Twig 在邏輯和表示之間實施了單獨的層,因此無法運行 SQL 查詢或濫用主題層。
  • 更安全的 WYSIWYG - Drupal 中的 WYSIWYG 編輯器對用戶來說是一個很棒的編輯工具,但它也可能被濫用來執行 XSS 攻擊等攻擊。 隨著 Drupal 8 遵循 Drupal 安全最佳實踐,它現在只允許使用過濾的 HTML 格式。 此外,為了防止用戶濫用圖像和防止 CSRF(跨站點請求偽造),Drupal 8 的核心文本過濾允許用戶僅使用本地圖像。
  • 配置管理計劃(CMI) ——這個 Drupal 8 計劃非常適合站點管理員和所有者,因為它允許他們跟踪代碼中的配置。 任何站點配置更改都將被跟踪和審核,從而允許對網站配置進行嚴格控制。

4. 明智地選擇你的 Drupal 模塊

在安裝模塊之前,請確保查看它的活躍程度。 模塊開發者是否足夠活躍? 他們是否經常發布 Drupal 安全更新? 之前下載過還是你是第一個替罪羊? 您將在模塊下載頁面的底部找到所有提到的詳細信息。 還要確保您的模塊已更新並卸載不再使用的模塊。

5. Drupal 安全模塊來救援

就像分層衣服比一件厚套衫更能在冬天保暖一樣,您的網站最好採用分層方法進行保護。 Drupal 安全模塊可以為您的網站提供額外的安全保護。 您必須為您的網站使用的一些頂級 Drupal 8 安全模塊 –

Drupal 登錄安全

該模塊通過允許站點管理員對用戶登錄添加各種限制來確保 Drupal 的安全性。 Drupal 登錄安全模塊可以在阻止帳戶之前限制無效登錄嘗試的次數。 可以暫時或永久拒絕 IP 地址的訪問。

兩因素身份驗證 –

使用此 Drupal 安全模塊,您可以在用戶使用用戶 ID 和密碼登錄後添加額外的身份驗證層。 就像輸入發送到他們手機的代碼一樣。

密碼策略 –

這是一個很棒的 Drupal 安全模塊,可讓您為登錄表單添加另一層安全保護,從而防止機器人和其他安全漏洞。 它對用戶密碼實施某些限制——例如對長度、字符類型、大小寫(大寫/小寫)、標點符號等的限制。它還強制用戶定期更改密碼(密碼過期功能)。

用戶名枚舉預防 –

默認情況下,Drupal 讓您知道輸入的用戶名是否存在或存在(如果其他憑據錯誤)。 如果黑客試圖輸入隨機用戶名只是為了找出真正有效的用戶名,這可能會很棒。 該模塊在 Drupal 中啟用安全性並通過更改標準錯誤消息來防止此類攻擊。

內容訪問 -

顧名思義,此模塊可讓您對內容進行更詳細的訪問控制。 可以使用自定義查看、編輯或刪除權限指定每種內容類型。 您可以按角色和作者管理內容類型的權限。

編碼器 -

代碼中的漏洞也可能為攻擊者讓路。 Coder 模塊(具有 IDE 支持的命令行工具)會檢查您的 Drupal 代碼,並讓您知道哪些地方沒有遵循最佳編碼實踐。

安全套件 -

這個 Drupal 安全模塊提供了許多風險處理功能。 使用此 Drupal 88 安全模塊可以輕鬆處理和緩解跨站點腳本(或嗅探)、CSRF、點擊劫持、竊聽攻擊等漏洞。

驗證碼 -

儘管我們討厭證明我們的人性,但 CAPTCHA 可能是最好的 Drupal 安全模塊之一,用於過濾不需要的垃圾郵件程序。 此 Drupal 模塊可防止垃圾郵件機器人自動提交腳本,並可用於 Drupal 網站的任何 Web 形式

6. 檢查您的權限

Drupal 允許您擁有多個角色和用戶,如管理員、經過身份驗證的用戶、匿名用戶、編輯者等。為了微調您的網站安全,每個角色都應該被允許執行特定類型的工作。 例如,匿名用戶應該被授予最少的權限,例如僅查看內容。 安裝 Drupal 和/或添加更多模塊後,不要忘記手動分配和授予每個角色的訪問權限。

7.獲取HTTPS

我敢打賭,您已經知道幾乎任何人都可以窺探和記錄任何僅通過 HTTP 傳輸的流量。 您的登錄 ID、密碼和其他會話信息等信息可能會被攻擊者抓取和利用。 如果您有一個電子商務網站,這將變得更加重要,因為它涉及付款和個人詳細信息。 在您的服務器上安裝 SSL 證書將通過加密傳輸的數據來保護用戶和服務器之間的連接。 HTTPS 網站還可以提高您的 SEO 排名——這使其完全值得投資。