- Drupal Уразлівасць
- Drupal бяспекі
- 2. Выкарыстанне смарт-лагіны і паролі
- 3. Выкарыстанне модуляў Drupal бяспекі
- 4. Блок Дрэнна Пошукавыя сістэмы
- 5. Заўсёды выкарыстоўваць абароненыя злучэння
- 6. Правы доступу да кантрольнага файлу
- 7. Блок доступ да важных файлаў
- Бяспека 8. Базы дадзеных
- рэзюмэ
Браян Джэксан
Абнаўленне ад 23 студзеня 2018 года
Drupal з'яўляецца адкрытым зыходным кодам CMS і ці структура, якая выкарыстоўваецца, па меншай меры, 2,2% усіх сайтаў у Інтэрнэце, што робіць яго 3-ці найбольш шырока выкарыстоўваным CMS ў свеце. Як і з любой буйной платформай, дадатковыя праблемы бяспекі таксама ўяўляюць сябе. Ваш рызыка атакі больш і больш уразлівасцяў пастаянна выяўляюцца або эксплуатацыі. Выконвайце нашым поўнае кіраўніцтва ніжэй таго, што вы можаце зрабіць , каб умацаваць сваю бяспеку Drupal і дапаможа прадухіліць сябе ад таго , каб зламаць або стаць ахвярай наступнай атакі грубай сілы.
Drupal Уразлівасць
Як ў небяспецы вы, калі справа даходзіць да Drupal? Ну, у адпаведнасці з CVE Больш падрабязна , Інтэрнэт-крыніца дадзеных слабыя месцы сістэмы бяспекі, там было 290 уразлівасцяў на сённяшні дзень (з 2002 года).
Калі вы чыталі нашу папярэднюю пошту на WordPress бяспекі Ўразлівасць у працэнтах хуткасць Drupal, калі параўнаць долю рынку хуткасці падальнага менш. Так што з дадзеных, уяўляецца, што Drupal з'яўляецца больш бяспечнай CMS.
Якія тыпы уразлівасцяў яны? Згодна з CVE Дэталяў, 46% Drupal уразлівасцяў Cross-Site Scripting ( XSS ). Вы можаце паглядзець дадатковую ломку ніжэй.
Вы можаце заставацца ў курсе інцыдэнтаў бяспекі і уразлівасцяў на афіцыйныя бюлетэні бяспекі ў Drupal стар. Вы можаце ўбачыць праблемы бяспекі, паколькі яны ставяцца да ядра Drupal, спрыялі праекты, а таксама дзяржаўнай службы аб'яваў. Вы таксама можаце падпісацца праз RSS ці прытрымлівацца @drupalsecurity на Twitter.
Вось вялікая Інфаграфіка, якая апісвае дакладны працэс, як рэліз бяспекі Drupal можна азнаёміцца на Drupal.org.
Drupal бяспекі
Drupal назіраецца ўстойлівы рост як CMS, якая азначае, што вы заўсёды рызыкуюць падвергнуцца нападу або узламаны. Вы ніколі не можаце прадухіліць гэтыя рэчы ня адбывалася 100% часу, самае лепшае , што вы можаце зрабіць , гэта рэалізаваць лепшыя практыкі бяспекі , каб абараніць сябе. Выконвайце рэкамендацый, прыведзеных ніжэй, каб умацаваць сваю бяспеку Drupal.
Вы павінны заўсёды трымаць сваю версію Drupal да цяперашняга часу, а таксама ўсіх вашых модуляў. Распрацоўшчыкі залатаць гэтыя па прычыне, і калі вы падаеце занадта далёка ззаду, вы адкрываеце сябе шмат уразлівасцяў, паколькі хакеры звычайна накіраваны на больш старыя версіі. Такія, як напад у кастрычніку 2014 года, у якім мільёны сайтаў Drupal былі закрануты , Вы заўсёды можаце загрузіць апошнюю версію Drupal з drupal.org , Заўвага: У гэтых прыкладах мы выкарыстоўваем Drupal 8 , Які быў выпушчаны 19 лістапада 2015 года.
- Для запуску абнаўлення, перайдзіце ў раздзел «Справаздачы» → «Даступныя абнаўлення.»
- Затым вы можаце націснуць на «Праверка ўручную» для сканавання дадатковых абнаўленняў.
Акрамя таго , рэкамендуецца выкарыстоўваць толькі давераныя модулі Drupal і тэмы. Атрымаеце вашыя модулі і тэмы з рэпазітара Drupal або з добра вядомых кампаній. Гэта выкліча менш праблем для вас у будучыні.
Калі вы ўсталёўваеце Drupal ў першы раз, вы можаце ўбачыць папярэджанне аб праблемах з вашай устаноўкай Drupal, маючы на ўвазе вашы «Давераныя хаста» не ўключаная.
Па стане на студзень 2015 года, Drupal 8 падтрымлівае надзейныя мадэлі хаста , Дзе вы можаце (і павінны) паказаць набор рэгулярных выразаў, якія павінны адпавядаць дамены на ўваходныя запыты. Прыклад канфігурацыі ў settings.php б наступным чынам:
$ Налады [ 'trusted_host_patterns'] = масіў ( '^ WWW \ .example \ .com $');
І заўсёды рэзервовае капіраванне вашага сайта! Калі вы падтрымліваць рэгулярныя рэзервовыя копіі гэта дазваляе лёгка адкаціць калі вы атакаваныя, і аднавіць CMS. Мы таксама рэкамендуем запускаць рэзервовае капіраванне, перш чым абнавіць ядро і модулі Drupal. Некаторыя кіраваныя хасты Drupal, такія як пантэон , Прапануе адзін-клік рэзервовага капіяванне і аднаўлення, а таксама Панны асяроддзя. Гэта выдатна падыходзіць для тэставання рэчы перад адпраўкай на вытворчасць. Ці вы маглі б таксама праверыць свае абнаўлення лакальна з дапамогай праграмнага забеспячэння, як XAMPP або MAMP.
Існуе таксама вельмі папулярны бясплатны рэзервовае капіяванне і мігруе модуль для Drupal, якія мы рэкамендуем. Гэты модуль функцыі:
- Рэзервовае капіраванне / аднаўленне некалькіх баз дадзеных MySQL і код
- Рэзервовае капіраванне файлаў каталога ўбудаваны ў гэтую версію
- Дадаць заўвагу для рэзервовага капіявання файлаў
- Смарт Выдаліць опцыі палягчаюць кіраванне файламі рэзервовага капіявання
- Рэзервовае капіяванне на FTP / S3 / Email або NodeSquirrel.com
- Drush інтэграцыя
- Некалькі графікаў рэзервовага капіявання
- шыфраванне AES для рэзервовых копій
Заўвага: гэты модуль У цяперашні час партавана на Drupal 8 , Да таго часу мы не рэкамендуем проста экспартаваць базу дадзеных MySQL і рэзервовае капіраванне файлаў ўручную.
2. Выкарыстанне смарт-лагіны і паролі
Будзь разумным з вашымі імёнамі і паролем ў Drupal. Ня карыстальніка «Admin» ў якасці імя карыстальніка і выбраць складаны пароль. Гэта, верагодна, адзін з лепшых спосабаў дубянеюць вашу бяспеку Drupal, і па іроніі лёсу гэта адзін з самых простых. Аднак многія людзі выкарыстоўваюць тое, што яны могуць лёгка запомніць, такія як «1234567» і ў канчатковым выніку шкадуючы пазней, калі яны злоўлены з грубай сілай. Памятаеце, што робаты пастаянна поўзаць па Інтэрнэце і па меры росту вашага сайта яны заўсёды будуць спрабаваць падмяніць ваш лагін. Глядзіце гэта кіраўніцтва па як выбраць надзейны пароль ,
Прыблізна 76 адсоткаў нападаў на карпаратыўныя сеткі ўдзельнічаюць слабыя паролі. - Appliedi
У адрозненне ад WordPress, дзе вы павінны змяніць сваё імя карыстальніка непасрэдна ў базе дадзеных, Drupal дазваляе абнавіць імя вашага адміністратара з прыборнай панэлі. Выканайце гэтыя хуткія крокі.
Націсніце ў «People» → «Змяніць» побач з вашым уліковым запісам адміністратара.
Затым проста зменіце значэнне ў полі «Імя карыстальніка» і націсніце «Захаваць».
Мы таксама рэкамендуем выкарыстоўваць бясплатную праграму, як KeePass або KeePassX якія дазваляюць ствараць абароненыя паролі і захоўваць іх у базе дадзеных на лакальным кампутары.
3. Выкарыстанне модуляў Drupal бяспекі
Ёсць шмат добрых модулі бяспекі Drupal, які будзе блакаваць ваш сайт і дапамагчы абараніць вас ад грубай сілы нападу. Гэтыя убудовы дазваляюць блакаваць шкоднасныя сеткі, абмежаванне хуткасці або пагроз бяспекі блока, ўжываць надзейныя паролі, сканіраванне на наяўнасць уразлівасцяў, убачыць, якія файлы былі зменены, укараніць брандмаўэр для блакавання агульных пагроз бяспекі, сачыць за зменамі DNS, і многае іншае. Вось некаторыя папулярныя модулі бяспекі Drupal:
- увайсці Бяспека : Абмежаваць колькасць спробаў ўваходу ў сістэму і забараніць доступ па IP-адрасе.
- ACL : Спісы кантролю доступу для доступу да вузлоў.
- палітыка пароляў Вызначыце некалькі палітык пароляў бяспекі для карыстальнікаў.
- ахоўны код : Блок формы прадстаўлення ад спам-ботаў / скрыптоў.
- аўтаматызаваны Выхад Дазваляе здольнасць адміністратара для ўваходу з карыстальнікаў пасля пэўнага перыяду часу.
- лімітавая сесія Абмяжуйце колькасць адначасовых сеансаў для кожнага карыстальніка.
- доступу да кантэнту : Правы доступу да тыпаў кантэнту па ролі і аўтара.
- кадавальнік Паведамляе, што праверка кода Drupal супраць кадавання стандарту і перадавога вопыту.
- SpamSpan фільтр : Заблытваецца адрас электроннай пошты, каб прадухіліць спам-ботаў збіраць іх.
- Узламаны! : Праверце, каб убачыць, ці былі змены ў ядро Drupal або тэму.
Ёсць два дадатковыя модулі бяспекі, якія заслугоўваюць трохі больш увагі. Па-першае, Модуль праверкі бяспекі , Мы рэкамендуем скарыстацца гэтым модулем, як ён аўтаматызуе тэставанне для многіх простых ў вырабе памылак, якія робяць ваш сайт небяспечным. Проста ўсталюеце і націсніце бегчы, і ён будзе правяраць ваш сайт.
Вы таксама можаце сканаваць ваш сайт з Sucuri-х Сайт шкоднасных праграм і сканэра бяспекі і выкрываць Паразіты , Калі тэст не паказвае якіх-небудзь пагроз, яна не гарантуе ваш сайт цалкам абаронены, ён проста паказвае, што сайт не ўяўляе непасрэднай пагрозы для наведвальнікаў.
Другі модуль бяспекі мы рэкамендуем ўключыць гэта Модуль двухфакторную аўтэнтыфікацыя (ТФК) у далейшым прадухіліць хтосьці атрымаць доступ да вашага сайту. Заўвага: Гэты модуль ў цяперашні час партавана на Drupal 8. KeyCDN цяпер таксама мае два фактары аўтэнтыфікацыі так што вы можаце забяспечыць Drupal на вашым вэб-хостынгу, а таксама ад пастаўшчыка CDN.
4. Блок Дрэнна Пошукавыя сістэмы
Ёсць заўсёды дрэнныя робаты, скрабкі і сканеры, якія дзівяць вашы сайты Drupal і крадуць вашу паласу прапускання. См поўнага спісу бот ў botreports.com , Многія з модуляў абароны, згаданых вышэй, могуць выдатна працаваць, каб заблакаваць дрэнных робатаў, але часам вам можа спатрэбіцца, каб зрабіць гэта на ўзроўні сервера. Калі вы хочаце заблакаваць некалькі радкоў User-Agent на адзін раз, вы можаце дадаць наступнае ў файл .htaccess.
. RewriteEngine On RewriteCond% {HTTP_USER_AGENT} ^ * (agent1 | Wget | Catall Павук) .. * $ [NC] RewriteRule * - [F, L]
Ці вы можаце таксама выкарыстоўваць дырэктыву BrowserMatchNoCase як гэта:
BrowserMatchNoCase "agent1" боты BrowserMatchNoCase "Wget" боты BrowserMatchNoCase боты "Catall павук" Order Allow, Deny Allow ад ALL Забараніць акр = боты
А вось прыклад на Nginx.
калі ($ http_user_agent ~ (agent1 | Wget | Catall Павук)) {вярнуцца 403; }
KeyCDN цяпер таксама мае функцыю якую вы можаце ўключыць у блакаваць дрэнныя боты на баку CDN, каб зэканоміць грошы на прапускную здольнасць.
5. Заўсёды выкарыстоўваць абароненыя злучэння
Незалежна ад таго, дзе вы знаходзіцеся, вы павінны заўсёды спрабаваць забяспечыць злучэння, якія вы выкарыстоўваеце ў бяспецы. Вы павінны выкарыстоўваць шыфраванне SFTP , калі ваш вэб - хостынг дае, або SSH. Калі вы выкарыстоўваеце FTP-кліент па змаўчанні порт для SFTP, як правіла, 22.
Заўвага: Некаторыя FTP кліенты захоўваюць паролі закадаваныя або нават у выглядзе звычайнага тэксту на вашым кампутары. Нават некаторыя закадаваныя паролі могуць быць ператвораныя назад да арыгіналу. Мы рэкамендуем не эканоміць FTP пароляў у кліенце або ўсталяваць, што некаторыя называюць майстар-пароль ,
Важна таксама, каб пераканацца, што ваш правілы брандмаўэра настроены належным чынам на вашым хатнім маршрутызатары. І памятайце, калі вы працуеце ў грамадскіх месцах, як інтэрнэт-кафэ або Starbucks яны не давяраюць сеткі.
Ваш вэб-хостынг, дзе ваш вэб-сайт пастаянна знаходзіцца таксама павінен быць запушчаны забяспечаным хостынг. Гэта азначае, што яны павінны быць запушчаны да даты і падтрымоўваных версій PHP, MySQL, кошт ізаляцыі, вэб-прыкладанняў брандмаўэрамі і г.д. Будзьце асцярожныя з таннымі агульнымі хастамі, як вы можаце сутыкнуцца з праблемамі, калі яны перапоўненасці серверы і абмену IP-адрасоў.
6. Правы доступу да кантрольнага файлу
Для таго, каб абараніць ваш сайт, вы хочаце, каб пераканацца, і выкарыстоўваць правільныя правы доступу да файлаў. Кожны каталог і файл маюць розныя дазволу, якія дазваляюць людзям чытаць, пісаць і змяняць іх. Калі вашы правы занадта свабодна гэта можа адкрыць дзверы для зламысніка, і калі яны занадта абмежавальнымі гэта можа парушыць ваш Drupal ўсталяваць у якасці модуляў і ядра Drupal павінен мець магчымасць пісаць у пэўныя каталогі.
Drupal мае добрую дакументацыю па забеспячэнне правоў доступу да файлаў і права ўласнасці ,
7. Блок доступ да важных файлаў
Вы можаце абмежаваць доступ да некаторых канфідэнцыйным файлаў, як authorize.php файл, upgrade.php файл, cron.php файл і файл install.php праз .htaccess. Такім чынам, ніхто акрамя вас ня можа ўвайсьці ў асноўныя файлы вашага сайта. Глядзіце прыклад ніжэй.
<FilesMatch "(аўтарызавацца | хрон | ўстаноўка | абнавіць). \ PHP"> Order адмаўляць, дазваляе забараніць з усіх Дазволіць ад 127.0.0.1 </ FilesMatch>
Бяспека 8. Базы дадзеных
Мала таго, што вам трэба праверыць правы доступу на файлы і блакаваць доступ да важных файлаў, але ёсць таксама рэчы, якія вы можаце зрабіць, каб умацаваць бяспеку на вашай базе Drupal. Першае, што мы рэкамендуем выкарыстоўвае іншы прэфікс табліц. Калі змяніць гэта нешта накшталт x3sdf_ гэта будзе зрабіць значна цяжэй адгадаць зламыснікам і дапамагчы прадухіліць ін'екцыі SQL.
Вы можаце змяніць прэфікс табліцы на экране налады пры ўсталёўцы Drupal. На ўстановачнай этапе базы дадзеных, проста націсніце на кнопку «Дадатковыя параметры», каб убачыць хост, нумар порта і прэфікс імя табліцы.
крыніца: Ўсталяваць Drupal 8
Калі ў вас ужо ёсць Drupal усталяваны, вы можаце змяніць прэфікс базы дадзеных з дапамогай PhpMyAdmin. Другая рэкамендацыя будзе змяніць імя базы дадзеных, каб зрабіць яго цяжэй адгадаць. Асабліва, калі вы назвалі вашу базу дадзеных
Ён заўсёды вяртаецца вакол пераезду ў «бяспечнай сеткі.» Для электроннай камерцыі сайтаў, прычына вам патрэбен сертыфікат SSL, таму што яны апрацоўкі канфідэнцыйных дадзеных. Для іншых сайтаў самая галоўная прычына для гэтага ваша старонка Увайсці Drupal. Калі вы не працуеце праз злучэнне HTTPS ваша імя карыстальніка і пароль перадаюцца ў незашыфраваным выглядзе праз Інтэрнэт. Многія людзі сцвярджаюць, што блогі і інфармацыйныя сайты не павінны быць запушчаныя на HTTPS, але наколькі важныя вашыя рэгістрацыйныя дадзеныя? Акрамя таго, многія сайты маюць некалькі аўтараў ўваход у сістэме ад усіх відаў розных сетак, таму запуск праз абароненае злучэнне могуць толькі дапамагчы зацвярдзець вашу бяспеку Drupal.
З SEO перавагі HTTPs і Перавагі прадукцыйнасці HTTP / 2 няма ніякіх прычын, каб не выкарыстоўваць сертыфікат SSL. І KeyCDN цяпер таксама прапануе бясплатныя сертыфікаты SSL з інтэграцыяй Encrypt нашага Давайце.
Загалоўкі бяспекі HTTP забяспечваюць яшчэ адзін узровень бяспекі для вашага сайта Drupal, дапамагаючы змякчыць атакі і слабасць. Яны, як правіла, патрабуецца толькі невялікая змена канфігурацыі на вашым вэб-серверы. Гэтыя загалоўкі ўказаць браўзэру, як паводзіць сябе пры працы з утрыманнем вашага сайта. Ніжэй прыведзены шэсць загалоўкаў бяспекі агульнага HTTP мы рэкамендуем рэалізаваць і ці абнаўленне.
Пераканайцеся ў тым, каб праверыць наш паглыблены пост на Загалоўкі бяспекі HTTP ,
рэзюмэ
Як вы можаце бачыць, што ёсць шмат спосабаў, вы можаце дубянее вашу бяспеку Drupal. Ад падтрымання ядра і модуляў Drupal ў актуальным стане, быўшы смарт з імёнамі карыстальнікаў і паролямі, з дапамогай убудоў бяспекі, бяспечныя злучэння, прыёмы абароны баз дадзеных, двухфакторную праверку сапраўднасці, правы доступу да файлаў, выкарыстоўваючы сертыфікат SSL і многае іншае. Многія з гэтых рэкамендацый могуць быць рэалізаваны на працягу некалькіх хвілін, і вы можаце спакойна адпачываць, ведаючы ваш сайт Drupal трохі больш абаронены ад зламыснікаў і хакераў.
Ёсць якія-небудзь іншыя добрыя парады па бяспецы Drupal, што вы думаеце, што мы прапусцілі? Калі так, то паведаміце нам аб гэтым ніжэй у каментарах!
Якія тыпы уразлівасцяў яны?Многія людзі сцвярджаюць, што блогі і інфармацыйныя сайты не павінны быць запушчаныя на HTTPS, але наколькі важныя вашыя рэгістрацыйныя дадзеныя?
Ёсць якія-небудзь іншыя добрыя парады па бяспецы Drupal, што вы думаеце, што мы прапусцілі?