• Strona główna
  • Artykuły
  • SEO
  • 7 Drupalowych Strategii Bezpieczeństwa, które musisz wdrożyć od razu! (Zawiera najlepsze moduły bezpieczeństwa Drupal 9)

7 Drupalowych Strategii Bezpieczeństwa, które musisz wdrożyć od razu! (Zawiera najlepsze moduły bezpieczeństwa Drupal 9)

Opublikowany: 2022-12-13

Bezpieczeństwo witryny nie jest jednorazowym celem, ale ciągłym procesem, który wymaga ciągłej uwagi. Zawsze lepiej jest zapobiegać katastrofie niż na nią reagować. Dzięki witrynie Drupal możesz mieć pewność, że zespół bezpieczeństwa Drupala rozwiąże zgłoszone problemy z bezpieczeństwem.

Drupal napędza miliony stron internetowych, z których wiele obsługuje niezwykle krytyczne dane. Nic dziwnego, że Drupal jest preferowanym CMS-em dla stron internetowych obsługujących krytyczne informacje, takich jak strony rządowe, instytucje bankowe i finansowe, sklepy e-Commerce itp. Aktualizacje i funkcje bezpieczeństwa Drupala dotyczą wszystkich 10 największych zagrożeń bezpieczeństwa związanych z OWASP (Open Web Application Security Project ).

Jednak ostatecznie to Ty musisz zapewnić bezpieczeństwo swojej witryny internetowej, przestrzegając najlepszych praktyk w zakresie bezpieczeństwa i wdrażając stale ewoluujące strategie bezpieczeństwa. Przeczytaj więcej, aby dowiedzieć się, jak to zrobić.

Strategie bezpieczeństwa Drupala

Luki w zabezpieczeniach Drupala

Jest rzeczą oczywistą, że społeczność bardzo poważnie traktuje bezpieczeństwo w Drupalu i stale wydaje aktualizacje/łaty bezpieczeństwa dla Drupala. Zespół ds. bezpieczeństwa Drupala jest zawsze proaktywny i gotowy do łatania, nawet zanim luka zostanie upubliczniona. Na przykład zespół ds. bezpieczeństwa Drupala opublikował aktualizację luki w zabezpieczeniach — SA-CORE-2018-002 na kilka dni przed jej faktycznym wykorzystaniem (Drupalgeddon2). Wkrótce wydano łatki i aktualizacje zabezpieczeń Drupala, doradzając administratorom witryn Drupal, aby aktualizowali swoje witryny.

Cytując Driesa z jednego z jego blogów na temat luki w zabezpieczeniach – „Zespół ds. bezpieczeństwa Drupal przestrzega „skoordynowanej polityki ujawniania”: problemy pozostają prywatne, dopóki nie zostanie opublikowana poprawka. Gdy zagrożenie zostanie wyeliminowane i dostępna będzie bezpieczna wersja rdzenia Drupala, ogłaszane jest publiczne ogłoszenie. Nawet jeśli zostanie udostępniona poprawka błędu, Drupal Security Team bardzo rozważnie komunikuje się.”


Kilka interesujących spostrzeżeń na temat statystyk podatności Drupala przez CVE Szczegóły:

Luki w zabezpieczeniach

Luki w zabezpieczeniach według typu

1. Zachowaj spokój i bądź na bieżąco – aktualizacje bezpieczeństwa Drupala

Zespół ds. bezpieczeństwa Drupala jest zawsze czujny i szuka luk w zabezpieczeniach. Łatki / aktualizacje bezpieczeństwa Drupala są wydawane natychmiast po ich znalezieniu. Ponadto, po Drupalu 8 i przyjęciu ciągłych innowacji, mniejsze wydania są częstsze. Doprowadziło to do łatwych i szybkich aktualizacji Drupala do lepszej, bezpieczniejszej wersji.
Upewnienie się, że wersja i moduły Drupala są aktualne, to naprawdę najmniej, co możesz zrobić, aby zapewnić bezpieczeństwo swojej witryny. Współtwórcy Drupala są na bieżąco i zawsze szukają wszelkich zagrożeń bezpieczeństwa, które mogą oznaczać katastrofę. Aktualizacje Drupala to nie tylko nowe funkcje, ale także łatki bezpieczeństwa i poprawki błędów. Aktualizacje i ogłoszenia dotyczące bezpieczeństwa Drupala są wysyłane do wiadomości e-mail użytkowników, a administratorzy witryny muszą aktualizować swoje wersje, aby zapewnić bezpieczeństwo.

2. Zarządzaj swoimi danymi wejściowymi

Interaktywne strony internetowe zwykle zbierają informacje od użytkowników. Jako administratorzy witryny, jeśli nie zarządzasz i nie obsługujesz tych danych w odpowiedni sposób, Twoja witryna jest narażona na wysokie ryzyko bezpieczeństwa. Hakerzy mogą wstrzykiwać kody SQL, które mogą wyrządzić ogromne szkody w danych Twojej witryny.
Powstrzymywanie użytkowników przed wprowadzaniem słów specyficznych dla języka SQL, takich jak „WYBIERZ”, „DROP” lub „DELETE”, może zaszkodzić wygodzie użytkownika w Twojej witrynie. Zamiast tego, dzięki bezpieczeństwu w Drupal, możesz użyć funkcji ucieczki lub filtrowania dostępnych w interfejsie API bazy danych, aby usunąć i odfiltrować takie szkodliwe iniekcje SQL. Oczyszczenie kodu jest najważniejszym krokiem w kierunku bezpiecznej witryny Drupala.

3. Bezpieczeństwo Drupala 9

W jaki sposób Drupal 9 pomaga w budowaniu solidniejszej i bezpieczniejszej strony internetowej?

  • Symfony – Wraz z przyjęciem przez Drupal 9 frameworka Symfony, otworzyło to drzwi dla znacznie większej liczby programistów, poza ograniczeniem ich tylko do podstawowych programistów Drupala. Symfony jest nie tylko bezpieczniejszym frameworkiem, ale także przyciągnął więcej programistów z różnymi spostrzeżeniami, aby naprawiać błędy i tworzyć łatki bezpieczeństwa.
  • Szablony Twig – ponieważ właśnie rozmawialiśmy o oczyszczaniu kodu w celu lepszej obsługi danych wejściowych, powiemy ci, że w przypadku Drupala zostało to już załatwione. Jak? Dzięki przyjęciu przez Drupala 9 Twiga jako silnika szablonów. Dzięki Twig nie będziesz potrzebować dodatkowego filtrowania i ucieczki danych wejściowych, ponieważ są one automatycznie oczyszczane. Dodatkowo wymuszenie przez Twiga oddzielnych warstw między logiką a prezentacją uniemożliwia uruchamianie zapytań SQL lub niewłaściwe użycie warstwy motywu.
  • Bezpieczniejsze WYSIWYG — Edytor WYSIWYG w Drupalu jest doskonałym narzędziem do edycji dla użytkowników, ale może być również niewłaściwie wykorzystywany do przeprowadzania ataków, takich jak ataki XSS. Dzięki Drupalowi 9 zgodnemu z najlepszymi praktykami bezpieczeństwa Drupala, pozwala on teraz na używanie tylko filtrowanych formatów HTML. Ponadto, aby uniemożliwić użytkownikom niewłaściwe użycie obrazów i zapobiec CSRF (fałszowanie żądań między witrynami), podstawowe filtrowanie tekstu Drupala pozwala użytkownikom używać tylko lokalnych obrazów.
  • Inicjatywa zarządzania konfiguracją (CMI) – ta inicjatywa Drupala świetnie sprawdza się dla administratorów i właścicieli witryn, ponieważ umożliwia im śledzenie konfiguracji w kodzie. Wszelkie zmiany w konfiguracji witryny będą śledzone i kontrolowane, co pozwoli na ścisłą kontrolę nad konfiguracją witryny.

4. Mądrze wybieraj moduły Drupala

Zanim zainstalujesz moduł, sprawdź, jak bardzo jest aktywny. Czy twórcy modułów są wystarczająco aktywni? Czy często publikują aktualizacje bezpieczeństwa Drupala? Czy został już pobrany, czy jesteś pierwszym kozłem ofiarnym? Wszystkie wymienione szczegóły znajdziesz na dole strony pobierania modułów. Upewnij się również, że twoje moduły są zaktualizowane i odinstaluj te, których już nie używasz.

5. Drupalowe moduły bezpieczeństwa na ratunek

Tak jak odzież warstwowa działa lepiej niż jeden gruby pulower, aby utrzymać ciepło zimą, tak Twoja strona internetowa jest najlepiej chroniona w przypadku warstwowego podejścia. Moduły bezpieczeństwa Drupala mogą zapewnić Twojej witrynie dodatkową warstwę bezpieczeństwa wokół niej.

Automatyczne aktualizacje

Obecnie jest to moduł współtworzony, ale wkrótce zostanie przeniesiony do rdzenia w Drupal 10. Celem inicjatywy automatycznych aktualizacji jest zapewnienie łatwego i bezpiecznego sposobu automatycznego aktualizowania witryny Drupal. Pomaga automatycznie aktualizować witrynę za pomocą podstawowych poprawek i wydań zabezpieczeń. Wszelkie problemy podczas procesu aktualizacji są wykrywane i zgłaszane, więc nie musisz się o tym później dowiedzieć.

Bezpieczeństwo logowania

Moduł ten zapewnia bezpieczeństwo w Drupalu poprzez umożliwienie administratorowi serwisu dodawania różnych ograniczeń dotyczących logowania użytkownika. Moduł bezpieczeństwa logowania Drupal może ograniczyć liczbę nieudanych prób logowania przed zablokowaniem kont. W przypadku adresów IP można odmówić dostępu tymczasowo lub na stałe.

Uwierzytelnianie dwuskładnikowe

Dzięki temu modułowi bezpieczeństwa Drupala możesz dodać dodatkową warstwę uwierzytelniania, gdy użytkownik zaloguje się za pomocą identyfikatora użytkownika i hasła. Na przykład wpisanie kodu, który został wysłany na ich telefon komórkowy.

Zasady dotyczące haseł

To świetny moduł bezpieczeństwa Drupala, który pozwala dodać kolejną warstwę zabezpieczeń do formularzy logowania, zapobiegając w ten sposób botom i innym naruszeniom bezpieczeństwa. Narzuca pewne ograniczenia na hasła użytkowników – takie jak ograniczenia dotyczące długości, rodzaju znaków, wielkości liter (wielkie/małe litery), interpunkcji itp. Zmusza również użytkowników do regularnej zmiany haseł (funkcja wygaśnięcia hasła).

Zapobieganie wyliczaniu nazw użytkowników

Domyślnie Drupal informuje, czy wprowadzona nazwa użytkownika nie istnieje lub istnieje (jeśli inne dane uwierzytelniające są nieprawidłowe). Może to być świetne, jeśli haker próbuje wprowadzić losowe nazwy użytkowników tylko po to, aby znaleźć taką, która jest rzeczywiście poprawna. Moduł ten zapewnia bezpieczeństwo w Drupalu i zapobiega takim atakom poprzez zmianę standardowego komunikatu o błędzie.

Dostęp do treści

Jak sama nazwa wskazuje, moduł ten pozwala na bardziej szczegółową kontrolę dostępu do treści. Każdy typ zawartości można określić za pomocą niestandardowych uprawnień do wyświetlania, edytowania lub usuwania. Uprawnieniami do typów zawartości można zarządzać według roli i autora.

Zestaw bezpieczeństwa

Ten moduł bezpieczeństwa Drupala oferuje wiele funkcji zarządzania ryzykiem. Luki w zabezpieczeniach, takie jak cross-site scripting (lub sniffing), CSRF, Clickjacking, ataki polegające na podsłuchiwaniu i inne, można łatwo obsługiwać i łagodzić za pomocą tego modułu bezpieczeństwa Drupala 9.

Captcha

Chociaż nie znosimy udowadniać naszej człowieczeństwa, CAPTCHA jest prawdopodobnie jednym z najlepszych modułów bezpieczeństwa Drupala do filtrowania niechcianych robotów spamujących. Ten moduł Drupal zapobiega automatycznemu przesyłaniu skryptów przez roboty spamujące i może być używany w dowolnej formie internetowej witryny Drupal

6. Sprawdź swoje uprawnienia

Drupal pozwala na posiadanie wielu ról i użytkowników, takich jak administratorzy, użytkownicy uwierzytelnieni, użytkownicy anonimowi, redaktorzy itp. Aby dostroić bezpieczeństwo witryny, każda z tych ról powinna mieć uprawnienia do wykonywania tylko określonego rodzaju pracy. Na przykład anonimowy użytkownik powinien mieć jak najmniejsze uprawnienia, takie jak tylko przeglądanie treści. Po zainstalowaniu Drupala i/lub dodaniu kolejnych modułów nie zapomnij ręcznie przypisać i przyznać uprawnienia dostępu do każdej roli.

7. Uzyskaj HTTPS

Założę się, że już wiedziałeś, że każdy ruch przesyłany przez HTTP może być podglądany i rejestrowany przez prawie każdego. Informacje takie jak identyfikator logowania, hasło i inne informacje o sesji mogą zostać przechwycone i wykorzystane przez osobę atakującą. Jeśli masz witrynę e-Commerce, staje się to jeszcze bardziej krytyczne, ponieważ dotyczy płatności i danych osobowych. Zainstalowanie certyfikatu SSL na serwerze zabezpieczy połączenie między użytkownikiem a serwerem poprzez szyfrowanie przesyłanych danych. Witryna HTTPS może również poprawić Twój ranking SEO – co czyni ją całkowicie wartą inwestycji.

Końcowe przemyślenia

Jak mówi stare przysłowie - oczekuj najlepszego, ale planuj najgorsze. Domyślnie Drupal jest bardzo bezpiecznym frameworkiem do zarządzania treścią, ale nadal będziesz musiał wdrożyć strategie bezpieczeństwa i postępować zgodnie z najlepszymi praktykami bezpieczeństwa Drupala, aby mieć spokojny sen. Drupal 9 oferuje zupełnie nowy zestaw funkcji bezpieczeństwa dla solidniejszej i bezpieczniejszej strony internetowej. Niemniej jednak aktualizowanie witryny za pomocą aktualizacji zabezpieczeń Drupala jest niezbędne. Pisanie czystego i bezpiecznego kodu odgrywa znaczącą rolę w bezpieczeństwie Twojej witryny. Wybierz ekspercką agencję rozwoju Drupala, która zapewni Ci skuteczne strategie bezpieczeństwa i usługi wdrożeniowe.

Czy ten artykuł był przydatny? Oto naprawdę mały adres URL tego artykułu, który możesz skopiować, osadzić lub udostępnić:

bit.ly/3UPJbap

Kliknij, aby skopiować adres URL do schowka