система онлайн-бронирования
г. Донецк, Украина, ул. Артёма, 87
+38 (062) 332 33 32, 332-27-71
ЗАБРОНИРОВАТЬ
НОМЕР

Статьи

Kompletny przewodnik po Drupal Security

  1. Luki w zabezpieczeniach Drupala
  2. Drupal Security
  3. 2. Użyj inteligentnych nazw użytkowników i haseł
  4. 3. Użyj Drupal Security Modules
  5. 4. Zablokuj złe roboty
  6. 5. Zawsze używaj bezpiecznych połączeń
  7. 6. Sprawdź uprawnienia do plików
  8. 7. Zablokuj dostęp do ważnych plików
  9. 8. Bezpieczeństwo baz danych
  10. streszczenie

Brian Jackson

Zaktualizowano 23 stycznia 2018 roku

Zaktualizowano 23 stycznia 2018 roku

Drupal to CMS typu open source i / lub framework, który jest używany przynajmniej 2,2% wszystkich stron internetowych w Internecie, co czyni go trzecim najczęściej używanym systemem CMS na świecie. Podobnie jak w przypadku każdej większej platformy, pojawiają się również dodatkowe obawy dotyczące bezpieczeństwa. Ryzyko ataku jest większe i coraz więcej luk jest wykrywanych lub wykorzystywanych. Postępuj zgodnie z poniższym pełnym przewodnikiem, aby dowiedzieć się, co możesz zrobić, aby wzmocnić bezpieczeństwo Drupala i zapobiec hackowaniu lub stawaniu się ofiarą kolejnego ataku brute-force.

Luki w zabezpieczeniach Drupala

Jak bardzo ryzykujesz, jeśli chodzi o Drupala? Cóż, według Szczegóły CVE , źródło danych dotyczących luk w zabezpieczeniach online, do tej pory zgłoszono 290 luk w zabezpieczeniach (od 2002 r.).

Jeśli przeczytałeś nasz poprzedni post na Bezpieczeństwo WordPress , stopa procentowa luk w zabezpieczeniach Drupala, jeśli porównasz udział w rynku ze wskaźnikiem incydentów, jest mniejsza. Tak więc z danych wynika, że ​​Drupal jest bezpieczniejszym CMS.

Jakie są rodzaje luk? Zgodnie ze szczegółami CVE, 46% luk Drupala to skrypty krzyżowe ( XSS ) . Możesz zobaczyć dodatkowe rozbicie poniżej.

Możesz być na bieżąco z incydentami i lukami w zabezpieczeniach Oficjalne wskazówki bezpieczeństwa Drupala strona. Możesz zobaczyć kwestie bezpieczeństwa związane z rdzeniem Drupala, projektami współtworzonymi, a także ogłoszeniami dotyczącymi usług publicznych. Możesz także subskrybować przez RSS lub śledzić @drupalsecurity na Twitterze.

Oto świetna infografika opisująca dokładny proces udostępniania wersji bezpieczeństwa Drupala na Drupal.org.

Drupal Security

Drupal postrzega stały wzrost jako CMS, co oznacza, że ​​zawsze jesteś narażony na atak lub włamanie. Nigdy nie możesz zapobiec tym wydarzeniom w 100% przypadków, najlepszą rzeczą, jaką możesz zrobić, jest wdrożenie najlepszych praktyk bezpieczeństwa, aby się chronić . Postępuj zgodnie z poniższymi zaleceniami, aby wzmocnić bezpieczeństwo Drupala.

Zawsze powinieneś aktualizować swoją wersję Drupala, a także wszystkie moduły . Deweloperzy łatają je z jakiegoś powodu, a jeśli zajdziesz za daleko, otworzysz się na wiele luk, ponieważ hakerzy zazwyczaj atakują starsze wersje. Takich jak atak w październiku 2014 r., W którym dotyczyło to milionów stron internetowych Drupala . Zawsze możesz pobrać najnowszą wersję Drupala z drupal.org . Uwaga: w tych przykładach używamy Drupal 8 , który został wydany 19 listopada 2015 r.

  1. Aby uruchomić aktualizacje, przejdź do „Raporty” → „Dostępne aktualizacje”.
  2. Następnie możesz kliknąć „Sprawdź ręcznie”, aby wyszukać dodatkowe aktualizacje.

Zaleca się również używanie tylko zaufanych modułów i motywów Drupala . Uzyskaj moduły i motywy z repozytorium Drupala lub od znanych firm. Spowoduje to mniej problemów w przyszłości.

Jeśli instalujesz Drupala po raz pierwszy, możesz zobaczyć ostrzeżenie o problemach z instalacją Drupala, odnosząc się do tego, że „Ustawienia zaufanego hosta” nie są włączone.

Od stycznia 2015 r. Drupal 8 obsługuje wzorce zaufanych hostów , gdzie możesz (i powinieneś) określić zestaw wyrażeń regularnych, które muszą odpowiadać domeny przychodzących żądań. Przykładowa konfiguracja w pliku settings.php brzmi:

$ settings ['trusted_host_patterns'] = array ('^ www

I zawsze twórz kopie zapasowe swojej strony! Jeśli utrzymujesz regularne kopie zapasowe, pozwala to na łatwe wycofanie, jeśli zostaniesz zaatakowany, i przywrócisz swój CMS. Zalecamy również uruchamianie kopii zapasowych przed aktualizacją rdzenia i modułów Drupala. Niektóre zarządzane hosty Drupala, takie jak Panteon , oferuj kopie zapasowe i przywracanie jednym kliknięciem, a także środowiska dev. Jest to idealne rozwiązanie do testowania rzeczy przed przejściem do produkcji. Możesz także przetestować swoje aktualizacje lokalnie za pomocą oprogramowania, takiego jak XAMPP lub MAMP.

Jest też bardzo popularny darmowy moduł tworzenia kopii zapasowych i migracji dostępne dla Drupala, które polecamy. Ten moduł zawiera:

  • Kopia zapasowa / Przywracanie wielu baz danych MySQL i kodu
  • Kopia zapasowa katalogu plików jest wbudowana w tę wersję
  • Dodaj notatkę do plików kopii zapasowej
  • Inteligentne opcje usuwania ułatwiają zarządzanie plikami kopii zapasowych
  • Kopia zapasowa na FTP / S3 / Email lub NodeSquirrel.com
  • Integracja Drush
  • Wiele harmonogramów tworzenia kopii zapasowych
  • Szyfrowanie AES dla kopii zapasowych

Uwaga: ten moduł jest obecnie przenoszony do Drupala 8 . Do tego czasu zalecamy po prostu eksportowanie bazy danych MySQL i ręczne tworzenie kopii zapasowych plików.

2. Użyj inteligentnych nazw użytkowników i haseł

Bądź mądry ze swoimi nazwami użytkowników i hasłem w Drupal. Nie używaj „admin” jako nazwy użytkownika i wybierz złożone hasło. Jest to prawdopodobnie jeden z najlepszych sposobów na wzmocnienie bezpieczeństwa Drupala i, jak na ironię, jest jednym z najłatwiejszych. Jednak wiele osób używa czegoś, co łatwo zapamiętuje, np. „1234567”, i później żałuje później, gdy zostanie złapany przez atak brutalną siłą. Pamiętaj, że boty nieustannie indeksują internet, a gdy Twoja witryna rośnie, zawsze będą próbować sfałszować Twój login. Zobacz ten przewodnik na jak wybrać silne hasło .

Około 76 procent ataków na sieci korporacyjne dotyczyło słabych haseł. - Appliedi

W przeciwieństwie do WordPressa, gdzie musisz zmienić swoją nazwę użytkownika bezpośrednio w bazie danych, Drupal pozwala zaktualizować nazwę użytkownika administratora z pulpitu nawigacyjnego. Wykonaj poniższe szybkie kroki.

  1. Kliknij „Ludzie” → „Edytuj” obok konta administratora.

  2. Następnie zmień wartość w polu „Nazwa użytkownika” i kliknij „Zapisz”.

Zalecamy również korzystanie z darmowego programu, takiego jak KeePass lub KeePassX które umożliwiają generowanie bezpiecznych haseł i przechowywanie ich w bazie danych lokalnie na komputerze.

3. Użyj Drupal Security Modules

Istnieje wiele dobrych modułów bezpieczeństwa Drupal, które zablokują Twoją witrynę i pomogą chronić Cię przed atakami siłowymi. Wtyczki te umożliwiają blokowanie złośliwych sieci, ograniczanie szybkości lub blokowanie zagrożeń bezpieczeństwa, wymuszanie silnych haseł, skanowanie w poszukiwaniu luk, sprawdzanie, które pliki się zmieniły, implementowanie zapory w celu blokowania typowych zagrożeń bezpieczeństwa, monitorowanie zmian w DNS i wiele innych. Oto kilka popularnych modułów zabezpieczeń Drupal:

  • Bezpieczeństwo logowania : Ogranicz liczbę prób logowania i odmów dostępu przez adres IP.
  • ACL : Listy kontroli dostępu do dostępu do węzłów.
  • Polityka haseł : Zdefiniuj więcej zasad haseł zabezpieczeń dla użytkowników.
  • Captcha : Blokuj przesyłanie formularzy ze spambotów / skryptów.
  • Automatyczne wylogowanie : Umożliwia administratorowi wylogowanie użytkowników po określonym czasie.
  • Limit sesji : Ogranicz liczbę jednoczesnych sesji na użytkownika.
  • Dostęp do treści : Uprawnienia dla typów treści według roli i autora.
  • Koder : Sprawdza kod Drupala pod kątem standardu kodowania i najlepszych praktyk.
  • Filtr SpamSpan : Ukrywa adres e-mail, aby zapobiec gromadzeniu ich przez spamboty.
  • Zhakowany! : Sprawdź, czy nastąpiły zmiany w rdzeniu lub motywach Drupala.

Istnieją dwa dodatkowe moduły bezpieczeństwa, które zasługują na nieco więcej uwagi. Pierwszy to Moduł przeglądu bezpieczeństwa . Zdecydowanie zalecamy skorzystanie z tego modułu, ponieważ automatyzuje on testowanie wielu łatwych do popełnienia błędów, które powodują, że witryna jest niepewna. Wystarczy zainstalować i uruchomić, aby sprawdzić witrynę.

Możesz także zeskanować swoją witrynę za pomocą Sucuri Złośliwe oprogramowanie i skaner bezpieczeństwa i Zdemaskuj pasożyty . Jeśli test nie wykazuje żadnych zagrożeń, nie gwarantuje to, że witryna jest całkowicie bezpieczna, tylko pokazuje, że witryna nie stanowi bezpośredniego zagrożenia dla odwiedzających.

Drugi moduł zabezpieczeń, który zalecamy włączyć, to Moduł uwierzytelniania dwuskładnikowego (TFA) aby jeszcze bardziej uniemożliwić komuś dostęp do Twojej witryny. Uwaga: Ten moduł jest obecnie przenoszony do Drupala 8. KeyCDN również ma teraz uwierzytelnianie dwuskładnikowe dzięki czemu możesz zabezpieczyć Drupala na swoim serwerze internetowym, a także na swoim dostawcy CDN.

4. Zablokuj złe roboty

Zawsze są złe boty, skrobaki i roboty indeksujące twoje witryny Drupala i kradnące przepustowość. Zobacz pełną listę botów na stronie botreports.com . Wiele modułów bezpieczeństwa wymienionych powyżej może świetnie blokować złe boty, ale czasami może być konieczne wykonanie tego na poziomie serwera. Jeśli chcesz zablokować wiele ciągów User-Agent na raz, możesz dodać następujące elementy do pliku .htaccess.

RewriteEngine On RewriteCond% {HTTP_USER_AGENT} ^. * (Agent1 | Wget | Catall Spider). * $ [NC] RewriteRule. * - [F, L]

Możesz też użyć dyrektywy BrowserMatchNoCase w następujący sposób:

Boty BrowserMatchNoCase „agent1” BrowserMatchNoCase Boty „Wget” BrowserMatchNoCase Boty „Catall Spider” Zezwalaj, Odmawiaj Zezwalaj od ALL Odmawiaj od env = boty

A oto przykład na Nginx.

if ($ http_user_agent ~ (agent1 | Wget | Catall Spider)) {return 403; }

KeyCDN ma teraz także funkcję, którą możesz włączyć blokuj złe boty po stronie CDN, aby zaoszczędzić pieniądze na przepustowości.

5. Zawsze używaj bezpiecznych połączeń

Bez względu na to, gdzie jesteś, zawsze staraj się upewnić, że używane połączenia są bezpieczne. Należy użyć szyfrowania SFTP, jeśli udostępnia go host WWW , lub SSH. Jeśli używasz klienta FTP, domyślnym portem SFTP jest zazwyczaj 22.

Uwaga: Niektóre klienty FTP przechowują na komputerze hasła zakodowane lub nawet zwykły tekst. Nawet niektóre zakodowane hasła mogą zostać przekonwertowane z powrotem na oryginalne. Zalecamy, aby nie zapisywać haseł FTP w kliencie ani konfigurować tego, co niektórzy nazywają hasło główne .

Ważne jest również, aby upewnić się reguły zapory są poprawnie skonfigurowane na routerze domowym. I pamiętaj, że kiedy pracujesz w miejscu publicznym, takim jak kawiarenka internetowa lub Starbucks, nie są to zaufane sieci.

Twój host internetowy, na którym znajduje się Twoja strona internetowa, powinien również uruchamiać bezpieczny hosting. Oznacza to, że powinny one uruchamiać aktualne i obsługiwane wersje PHP, MySQL, izolacji kont, zapór sieciowych aplikacji internetowych itp. Uważaj na tanie współdzielone hosty, ponieważ możesz napotkać problemy, jeśli są przepełnione serwery i współdzielą adresy IP.

6. Sprawdź uprawnienia do plików

Aby chronić swoją stronę, chcesz się upewnić i użyć poprawnych uprawnień do plików. Każdy katalog i plik ma różne uprawnienia, które pozwalają ludziom je czytać, zapisywać i modyfikować. Jeśli twoje uprawnienia są zbyt luźne, może to otworzyć drzwi dla intruza, a jeśli są zbyt restrykcyjne, może to przerwać instalację Drupala, ponieważ moduły i rdzeń Drupala muszą mieć możliwość zapisu do pewnych katalogów.

Drupal ma dobrą dokumentację zabezpieczanie uprawnień do plików i własności .

7. Zablokuj dostęp do ważnych plików

Możesz ograniczyć dostęp do niektórych wrażliwych plików, takich jak plik authorize.php, plik upgrade.php, plik cron.php i plik install.php za pośrednictwem .htaccess. W ten sposób nikt oprócz ciebie nie może wprowadzić podstawowych plików swojej witryny. Zobacz przykład poniżej.

<FilesMatch "(autoryzuj | cron | install | upgrade) php"> Odmawiaj zamówienia, zezwalaj na odmowę ze wszystkich Zezwól od 127.0.0.1 </FilesMatch>

8. Bezpieczeństwo baz danych

Nie tylko musisz sprawdzać uprawnienia do plików i blokować dostęp do ważnych plików, ale są też rzeczy, które możesz zrobić, aby wzmocnić zabezpieczenia w bazie danych Drupala. Pierwszą rzeczą, którą zalecamy, jest użycie innego prefiksu tabeli. Jeśli zmienisz to na coś takiego jak x3sdf_, znacznie utrudni to odgadnięcie przez intruza i pomoże zapobiec zastrzykom SQL.

Możesz zmienić prefiks tabeli na ekranie konfiguracji podczas instalacji Drupala. W kroku konfigurowania bazy danych wystarczy kliknąć „Opcje zaawansowane”, aby zobaczyć przedrostek hosta, numeru portu i nazwy tabeli.

Źródło: Zainstaluj Drupala 8

Jeśli masz już zainstalowany Drupal, możesz zmienić prefiks bazy danych za pomocą phpMyAdmin. Drugim zaleceniem jest zmiana nazwy bazy danych, aby trudniej było odgadnąć. Zwłaszcza jeśli nazwałeś swoją bazę danych

Zawsze powraca, aby przejść do „bezpiecznej sieci”. W przypadku witryn eCommerce potrzebny jest certyfikat SSL, ponieważ przetwarzają one poufne dane. Dla innych stron największą przyczyną jest Twoja strona logowania do Drupala. Jeśli nie korzystasz z połączenia HTTPS, twoja nazwa użytkownika i hasło są przesyłane przez Internet . Wiele osób twierdzi, że blogi i witryny informacyjne nie muszą działać na HTTPS, ale jak ważne są dane logowania? Ponadto wiele stron ma wielu autorów, którzy logują się z różnych sieci, więc uruchomienie bezpiecznego połączenia może tylko wzmocnić bezpieczeństwo Drupala.

Z zaletami SEO HTTPs i zalety wydajności HTTP / 2 nie ma powodu, aby nie używać certyfikatu SSL. A KeyCDN oferuje teraz także bezpłatne certyfikaty SSL z naszą integracją Let's Encrypt.

Nagłówki zabezpieczeń HTTP zapewniają kolejną warstwę zabezpieczeń dla witryny Drupal, pomagając złagodzić ataki i luki w zabezpieczeniach. Zwykle wymagają jedynie niewielkiej zmiany konfiguracji na serwerze WWW. Nagłówki te informują przeglądarkę, jak się zachować podczas obsługi zawartości witryny. Poniżej znajduje się sześć popularnych nagłówków zabezpieczeń HTTP, które zalecamy implementować i aktualizować.

Koniecznie zapoznaj się z naszym obszernym postem Nagłówki zabezpieczeń HTTP .

streszczenie

Jak widać, istnieje wiele sposobów na wzmocnienie bezpieczeństwa Drupala. Począwszy od aktualizowania rdzenia i modułów Drupala, bycia inteligentnym z nazwami użytkowników i hasłami, z wykorzystaniem wtyczek bezpieczeństwa, bezpiecznych połączeń, sztuczek bezpieczeństwa baz danych, uwierzytelniania dwuskładnikowego, uprawnień do plików, korzystania z certyfikatu SSL i innych. Wiele z tych zaleceń można zaimplementować w ciągu kilku minut i możesz spokojnie spać, wiedząc, że Twoja witryna Drupal jest trochę bezpieczniejsza od intruzów i hakerów.

Czy masz jakieś inne dobre wskazówki dotyczące bezpieczeństwa Drupala, które według Ciebie przegapiliśmy? Jeśli tak, daj nam znać poniżej w komentarzach!

Jakie są rodzaje luk?
Wiele osób twierdzi, że blogi i witryny informacyjne nie muszą działać na HTTPS, ale jak ważne są dane logowania?
Czy masz jakieś inne dobre wskazówki dotyczące bezpieczeństwa Drupala, które według Ciebie przegapiliśmy?

Новости

Отель «Централь» Официальный сайт 83001, Украина, г. Донецк, ул. Артема, 87
Тел.: +38 062 332-33-32, 332-27-71
[email protected]
TravelLine: Аналитика


Студия web-дизайна Stoff.in © 2008