7 strategii de securitate Drupal pe care trebuie să le implementați imediat! (Include modulele de securitate Drupal 9 de top)

Securitatea site-ului web nu este un obiectiv unic, ci un proces continuu care necesită o atenție constantă. Este întotdeauna mai bine să preveniți un dezastru decât să răspundeți la unul. Cu un site web Drupal, puteți fi sigur că echipa de securitate Drupal va rezolva problemele de securitate raportate.

Drupal a alimentat milioane de site-uri web, multe dintre acestea gestionând date extrem de critice. Deloc surprinzător, Drupal a fost CMS-ul de alegere pentru site-urile web care gestionează informații critice, cum ar fi site-uri web guvernamentale, instituții bancare și financiare, magazine de comerț electronic etc. Actualizările și funcțiile de securitate Drupal abordează toate cele mai importante 10 riscuri de securitate ale OWASP (Open Web Application Security Project). ).

Cu toate acestea, sarcina dvs. revine în cele din urmă să vă asigurați că site-ul dvs. este securizat, urmând cele mai bune practici de securitate și implementând strategii de securitate în continuă evoluție. Citiți mai multe pentru a afla cum.

Vulnerabilități de securitate Drupal

Este de la sine înțeles că comunitatea ia foarte în serios securitatea în Drupal și continuă să lanseze actualizări/patch-uri de securitate Drupal. Echipa de securitate Drupal este întotdeauna proactivă și pregătită cu patch-uri chiar înainte ca o vulnerabilitate să devină publică. De exemplu, echipa de securitate Drupal a lansat actualizarea vulnerabilității de securitate - SA-CORE-2018-002 cu zile înainte ca aceasta să fie efectiv exploatată (Drupalgeddon2). Patch-urile și actualizările de securitate Drupal au fost lansate în curând, sfătuind administratorii site-urilor Drupal să-și actualizeze site-urile web.

Citând Dries dintr-unul dintre blogurile sale despre vulnerabilitatea de securitate – „Echipa de securitate Drupal urmează o „politică coordonată de divulgare”: problemele rămân private până când există o remediere publicată. Un anunț public este făcut atunci când amenințarea a fost abordată și este disponibilă și o versiune securizată de core Drupal. Chiar și atunci când o remediere a erorilor este disponibilă, echipa de securitate Drupal este foarte atentă cu comunicarea sa.”

Câteva informații interesante despre statisticile de vulnerabilitate ale Drupal de către CVE Detalii:

1. Păstrați calmul și rămâneți la curent – ​​Actualizări de securitate Drupal

Echipa de securitate Drupal este mereu atentă la vulnerabilități. Patch-urile/actualizările de securitate Drupal sunt lansate imediat de îndată ce găsesc unul. De asemenea, după Drupal 8 și adoptarea inovației continue, lansările minore sunt mai frecvente. Acest lucru a dus la actualizări Drupal simple și rapide ale unei versiuni mai bune și mai sigure.
Să vă asigurați că versiunea și modulele Drupal sunt actualizate este cu adevărat cel mai puțin pe care îl puteți face pentru a asigura siguranța site-ului dvs. Colaboratorii Drupal sunt la curent cu lucrurile și caută mereu orice amenințări de securitate care ar putea provoca un dezastru. Actualizările Drupal nu vin doar cu funcții noi, ci și cu corecții de securitate și remedieri de erori. Actualizările și anunțurile de securitate Drupal sunt postate pe e-mailurile utilizatorilor, iar administratorii site-ului trebuie să-și păstreze versiunile actualizate pentru a asigura securitatea.

2. Administrați-vă intrările

Site-urile web interactive adună de obicei informații de la utilizatori. În calitate de administratori ai site-ului web, cu excepția cazului în care gestionați și gestionați aceste intrări în mod corespunzător, site-ul dvs. este expus unui risc ridicat de securitate. Hackerii pot injecta coduri SQL care pot dăuna foarte mult datelor site-ului dvs.
Oprirea utilizatorilor să introducă cuvinte specifice SQL, cum ar fi „SELECT”, „DROP” sau „DELETE”, ar putea dăuna experienței utilizatorului site-ului dvs. În schimb, cu securitatea în Drupal, puteți utiliza funcțiile de evadare sau de filtrare disponibile în API-ul bazei de date pentru a elimina și filtra astfel de injecții SQL dăunătoare. Dezinfectarea codului este cel mai important pas către un site web Drupal securizat.

3. Drupal 9 Security

Cum ajută Drupal 9 la construirea unui site web mai robust și mai sigur?

• Symfony – Odată cu Drupal 9 adoptând cadrul Symfony, a deschis porți pentru mai mulți dezvoltatori, în afară de limitarea acestora la doar dezvoltatorii Drupal de bază. Nu numai că Symfony este un cadru mai sigur, dar a adus și mai mulți dezvoltatori cu perspective diferite pentru a remedia erorile și a crea corecții de securitate.
• Șabloane Twig – Așa cum tocmai am discutat despre dezinfectarea codului pentru a gestiona mai bine intrările, iată că vă spun că, cu Drupal, a fost deja îngrijit. Cum? Datorită adoptării de către Drupal 9 a Twig ca motor de șabloane. Cu Twig, nu veți avea nevoie de nicio filtrare și evacuare suplimentară a intrărilor, deoarece este igienizat automat. În plus, aplicarea de către Twig a straturilor separate între logică și prezentare face imposibilă rularea interogărilor SQL sau utilizarea greșită a stratului tematic.
• WYSIWYG mai sigur - Editorul WYSIWYG din Drupal este un instrument de editare excelent pentru utilizatori, dar poate fi folosit greșit și pentru a efectua atacuri precum atacurile XSS. Cu Drupal 9 urmând cele mai bune practici de securitate Drupal, acum permite utilizarea numai a formatelor HTML filtrate. De asemenea, pentru a preveni utilizarea abuzivă a imaginilor și pentru a preveni CSRF (falsificarea cererilor între site-uri), filtrarea de bază a textului Drupal permite utilizatorilor să folosească doar imagini locale.
• Inițiativa de management al configurației (CMI) – Această inițiativă Drupal funcționează excelent pentru administratorii și proprietarii site-urilor, deoarece le permite să urmărească configurația în cod. Orice modificare a configurației site-ului va fi urmărită și auditată, permițând un control strict asupra configurației site-ului.

4. Alegeți cu înțelepciune modulele Drupal

Înainte de a instala un modul, asigurați-vă că vă uitați la cât de activ este acesta. Sunt dezvoltatorii de module suficient de activi? Lansează des actualizări de securitate Drupal? A fost descărcat înainte sau ești primul țap ispășitor? Veți găsi toate detaliile menționate în partea de jos a paginii de descărcare a modulelor. De asemenea, asigurați-vă că modulele sunt actualizate și dezinstalați-le pe cele pe care nu le mai folosiți.

5. Modulele de securitate Drupal la salvare

La fel cum îmbrăcămintea stratificată funcționează mai bine decât un pulover gros pentru a se menține cald în timpul iernii, site-ul dvs. este cel mai bine protejat printr-o abordare stratificată. Modulele de securitate Drupal pot oferi site-ului dvs. un strat suplimentar de securitate în jurul acestuia.

Actualizari automate

Acesta este în prezent un modul contribuit, dar va trece în curând la nucleul Drupal 10. Scopul inițiativei de actualizări automate este de a oferi o modalitate ușoară, sigură și sigură de a actualiza automat un site web Drupal. Vă ajută să vă actualizați automat site-ul cu corecții de bază și versiuni de securitate. Orice probleme din timpul procesului de actualizare sunt detectate și raportate, astfel încât să nu fie nevoie să aflați mai târziu.

Securitate autentificare

Acest modul asigură securitatea în Drupal, permițând administratorului site-ului să adauge diverse restricții privind autentificarea utilizatorului. Modulul de securitate de conectare Drupal poate restricționa numărul de încercări de conectare nevalide înainte de a bloca conturile. Accesul poate fi refuzat pentru adresele IP fie temporar, fie permanent.

Autentificare cu doi factori

Cu acest modul de securitate Drupal, puteți adăuga un strat suplimentar de autentificare odată ce utilizatorul se conectează cu un ID de utilizator și o parolă. Ca și cum ar fi introducerea unui cod care a fost trimis pe telefonul lor mobil.

Politica parolelor

Acesta este un modul de securitate excelent Drupal care vă permite să adăugați un alt nivel de securitate la formularele dvs. de autentificare, prevenind astfel roboții și alte breșe de securitate. Implementează anumite restricții asupra parolelor utilizatorilor – cum ar fi constrângerile privind lungimea, tipul de caractere, litere mari (majuscule/minuscule), punctuația etc. De asemenea, obligă utilizatorii să-și schimbe parolele în mod regulat (funcția de expirare a parolei).

Prevenirea enumerarii numelui de utilizator

În mod implicit, Drupal vă anunță dacă numele de utilizator introdus nu există sau există (dacă alte acreditări sunt greșite). Acest lucru poate fi grozav dacă un hacker încearcă să introducă nume de utilizator aleatorii doar pentru a afla unul care este de fapt valid. Acest modul permite securitatea în Drupal și previne astfel de atacuri prin modificarea mesajului de eroare standard.

Accesul la conținut

După cum sugerează și numele, acest modul vă permite să oferiți un control mai detaliat al accesului la conținut. Fiecare tip de conținut poate fi specificat cu permisiuni personalizate de vizualizare, editare sau ștergere. Puteți gestiona permisiunile pentru tipurile de conținut în funcție de rol și autor.

Kit de securitate

Acest modul de securitate Drupal oferă multe funcții de gestionare a riscurilor. Vulnerabilități precum scripting-ul încrucișat (sau sniffing), CSRF, Clickjacking, atacuri de interceptare și multe altele pot fi gestionate și atenuate cu ușurință cu acest modul de securitate Drupal 9.

Captcha

Oricât de mult ne detestăm să ne dovedim umanitatea, CAPTCHA este probabil unul dintre cele mai bune module de securitate Drupal disponibile pentru a filtra spamboții nedoriți. Acest modul Drupal previne trimiterea automată de scripturi de la spamboți și poate fi utilizat în orice formă web a unui site web Drupal

6. Verificați permisiunile dvs

Drupal vă permite să aveți mai multe roluri și utilizatori, cum ar fi administratori, utilizatori autentificați, utilizatori anonimi, editori etc. Pentru a îmbunătăți securitatea site-ului dvs., fiecare dintre aceste roluri ar trebui să aibă permisiunea să efectueze doar un anumit tip de lucru. De exemplu, unui utilizator anonim ar trebui să i se acorde cele mai puține permisiuni, cum ar fi doar vizualizarea conținutului. Odată ce instalați Drupal și/sau adăugați mai multe module, nu uitați să atribuiți manual și să acordați permisiuni de acces fiecărui rol.

7. Obțineți HTTPS

Pun pariu că știai deja că orice trafic transmis doar printr-un HTTP poate fi iscusit și înregistrat de aproape oricine. Informații precum id-ul de conectare, parola și alte informații despre sesiune pot fi preluate și exploatate de un atacator. Dacă aveți un site de comerț electronic, acest lucru devine și mai critic, deoarece se ocupă de plată și detalii personale. Instalarea unui certificat SSL pe serverul dvs. va asigura conexiunea dintre utilizator și server prin criptarea datelor care sunt transferate. Un site web HTTPS vă poate îmbunătăți, de asemenea, clasarea SEO - ceea ce face ca investiția să merite pe deplin.

Gânduri finale

După cum spune vechea zicală - Așteaptă-te la ce este mai bun, dar planifică-te la ce este mai rău. În mod implicit, Drupal este un cadru de management al conținutului foarte sigur, dar va trebui totuși să implementați strategii de securitate și să urmați cele mai bune practici de securitate Drupal pentru un somn bun. Drupal 9 aduce o serie cu totul nouă de caracteristici de securitate pentru un site web mai robust și mai sigur. Cu toate acestea, menținerea site-ului dvs. web la zi cu actualizările de securitate Drupal este indispensabilă. Scrierea unui cod curat și securizat joacă un rol important în securitatea site-ului dvs. Alegeți o agenție de dezvoltare expertă Drupal care vă poate oferi strategii de securitate și servicii de implementare eficiente.

Ai găsit acest articol util? Iată o adresă URL foarte mică a acestui articol pe care o puteți copia, încorpora sau partaja:

bit.ly/3UPJbap

Faceți clic pentru a copia adresa URL în clipboard