система онлайн-бронирования
г. Донецк, Украина, ул. Артёма, 87
+38 (062) 332 33 32, 332-27-71
ЗАБРОНИРОВАТЬ
НОМЕР

Статьи

Повне керівництво по Drupal Security

  1. Уразливості Drupal
  2. Drupal Security
  3. 2. Використовуйте інтелектуальні імена користувачів і паролі
  4. 3. Використовуйте модулі безпеки Drupal
  5. 4. Блокувати погані боти
  6. 5. Завжди використовуйте безпечні з'єднання
  7. 6. Перевірте права доступу до файлів
  8. 7. Блокувати доступ до важливих файлів
  9. 8. Безпека бази даних
  10. Резюме

Брайан Джексон

Оновлено 23 січня 2018 року

Оновлено 23 січня 2018 року

Drupal є CMS з відкритим вихідним кодом і / або фреймворком, який використовується принаймні 2,2% всіх веб-сайтів в Інтернеті, що робить її третьою найбільш широко використовуваною CMS у світі. Як і у випадку з будь-якою основною платформою, також виникають додаткові проблеми безпеки. Ваш ризик атаки все більше і більше вразливостей постійно відкриваються або експлуатуються. Дотримуйтесь нашого повного наведеного нижче посібника про те, що ви можете зробити, щоб посилити вашу безпеку у Drupal і допомогти запобігти собі отримати хакерство або стати жертвою наступного нападу на грубу силу.

Уразливості Drupal

Як ви ризикуєте, коли мова йде про Drupal? Ну, згідно з Деталі CVE , джерело даних в онлайн-безпеці в Інтернеті, до цього часу було зареєстровано 290 уразливостей (з 2002 року).

Якщо ви прочитали наш попередній пост Безпека WordPress , процентна ставка уразливості Drupal, якщо порівняти частку ринку з інцидентом, менше. Так що з даних видно, що Drupal є більш безпечним CMS.

Які вони є вразливостями? За даними CVE Details, 46% уразливостей Drupal є міжсекторними сценаріями ( XSS ) . Нижче наведено додатковий розрив.

Ви можете бути в курсі випадків і уразливостей безпеки Офіційні рекомендації з безпеки компанії Drupal стор. Ви можете побачити питання безпеки, як вони стосуються ядра Drupal, внесені проекти, а також оголошення про публічні послуги. Ви також можете підписатися через RSS або слідувати @prupalsecurity на Twitter.

Ось чудова інфографіка, що описує точний процес того, як випущений на Drupal.org випуск безпеки Drupal.

Drupal Security

Drupal бачить стійке зростання як CMS, що означає, що ви завжди перебуваєте під ризиком нападу або зламу. Ви ніколи не можете запобігти подібним речам у 100% випадків, найкраще, що ви можете зробити, це реалізувати кращі практики безпеки, щоб захистити себе . Дотримуйтесь рекомендацій, наведених нижче, щоб посилити безпеку у Drupal.

Ви завжди повинні зберігати свою версію Drupal в актуальному стані, а також всі ваші модулі . Розробники виправляють ці причини, і якщо ви занадто відстаєте, ви відкриєте себе до багатьох вразливостей, оскільки хакери зазвичай націлюються на старі версії. Такі, як напад в жовтні 2014 року, в якому були вражені мільйони сайтів Drupal . Ви завжди можете завантажити останню версію Drupal drupal.org . Примітка: У цих прикладах ми використовуємо Drupal 8 , який був випущений 19 листопада 2015 року.

  1. Щоб запустити оновлення, перейдіть до розділу "Звіти" → "Доступні оновлення".
  2. Потім можна натиснути кнопку "Перевірити вручну" для сканування додаткових оновлень.

Також рекомендується використовувати тільки довірені Drupal модулі та теми . Отримайте ваші модулі та теми з репозиторію Drupal або від відомих компаній. Це призведе до менших проблем у майбутньому.

Якщо ви встановлюєте Drupal вперше, ви можете побачити попередження про проблеми з інсталяцією у Drupal, посилаючись на ваші "Налаштування надійного хоста", які не активовані.

Станом на січень 2015 року Drupal 8 підтримує шаблони довірених хостів , де можна (і потрібно) вказати набір регулярних виразів, які повинні відповідати домени вхідних запитів. Приклад конфігурації в settings.php буде читати:

$ settings ['trusted_host_patterns'] = масив ('^ www приклад. .com $',);

І завжди створюйте резервні копії свого сайту! Якщо ви підтримуєте регулярні резервні копії, це дозволяє легко відхиляти, якщо ви атакуєте, і відновити вашу CMS. Ми також рекомендуємо запускати резервні копії перед оновленням ядра та модулів Drupal. Деякі керовані хости Drupal, такі як Пантеон , пропонують резервну копію та відновлення одним клацанням миші, а також середовищами розробки. Це відмінно підходить для тестування речей, перш ніж вийти на виробництво. Або ви також можете перевірити свої оновлення локально, використовуючи такі програми, як XAMPP або MAMP.

Є також дуже популярна безкоштовна модуль резервного копіювання та міграції для Drupal, які ми рекомендуємо. Цей модуль має:

  • Резервне копіювання / відновлення декількох баз даних MySQL і коду
  • У цю версію вбудовано резервне копіювання файлів
  • Додайте примітку до резервних файлів
  • Параметри інтелектуального видалення спрощують керування файлами резервних копій
  • Резервне копіювання на FTP / S3 / Email або NodeSquirrel.com
  • Інтеграція Дрюша
  • Кілька графіків резервного копіювання
  • Шифрування AES для резервного копіювання

Примітка: цей модуль є в даний час переноситься на Drupal 8 . До цього ми рекомендуємо просто експортувати базу даних MySQL і створювати резервні копії файлів вручну.

2. Використовуйте інтелектуальні імена користувачів і паролі

Будьте розумні з іменами користувачів і паролем у Drupal. Не використовуйте ім’я користувача "admin" і виберіть складний пароль. Це, мабуть, один з кращих способів затвердити вашу безпеку у Drupal, і це, іронічно, одне з найпростіших. Однак багато людей використовують те, що легко запам'ятовуються, наприклад, «1234567», і в кінцевому підсумку висловлюють жаль після того, як вони потрапили в грубу атаку. Пам'ятайте, що боти постійно скануються в Інтернеті і, як ваш сайт росте, вони завжди будуть намагатися підмінити ваш логін. Див. Цей посібник як вибрати надійний пароль .

Приблизно 76 відсотків атак на корпоративні мережі пов'язані зі слабкими паролями. - Appliedi

На відміну від WordPress, де ви повинні змінити своє ім'я користувача безпосередньо в базі даних, Drupal дозволяє оновити ім'я користувача адміністратора з інформаційної панелі. Виконайте такі швидкі дії.

  1. Натисніть "Люди" → "Редагувати" поруч із обліковим записом адміністратора.

  2. Потім просто змініть значення в полі "Ім'я користувача" та натисніть "Зберегти".

Ми також рекомендуємо використовувати безкоштовну програму KeePass або KeePassX які дозволяють створювати безпечні паролі та зберігати їх у базі даних локально на вашому комп'ютері.

3. Використовуйте модулі безпеки Drupal

Є багато хороших модулів безпеки Drupal, які заблокують ваш сайт і допоможуть захистити вас від атак нападу. Ці плагіни дозволяють блокувати шкідливі мережі, обмежувати швидкість або блокувати загрози безпеці, застосовувати сильні паролі, сканувати уразливості, бачити, які файли були змінені, реалізовувати брандмауер для блокування загальних загроз безпеці, контролювати зміни DNS та багато іншого. Ось деякі популярні модулі безпеки Drupal:

  • Логін Безпека : Обмеження кількості спроб входу та заборона доступу за IP-адресою.
  • ACL : Списки керування доступом для доступу до вузлів.
  • Правила паролів : Визначення додаткових правил безпеки для користувачів.
  • Captcha : Блокувати форму від спам-ботів / скриптів.
  • Автоматизований вихід : Дозволяє адміністратору вийти з користувачів після певного періоду часу.
  • Обмеження сеансу : Обмежте кількість одночасних сеансів на користувача.
  • Доступ до вмісту : Дозволи для типів вмісту за роллю та автором.
  • Кодер : Перевіряє ваш код Drupal на кодування стандартів і кращих практик.
  • Фільтр SpamSpan : Обманкує адресу електронної пошти, щоб запобігти збору спам-ботів.
  • Зламана! : Перевірте, чи змінилися ядра Drupal або теми.

Є два додаткових модуля безпеки, які заслуговують трохи більше уваги. Перший - це Модуль огляду безпеки . Ми настійно рекомендуємо скористатися цим модулем, оскільки він автоматизує тестування для багатьох простих помилок, які роблять ваш сайт небезпечним. Просто встановіть і запустіть запуск, і він перевірить ваш сайт.

Ви також можете сканувати свій сайт за допомогою Sucuri's Сайт шкідливих програм і сканера безпеки і Викрийте паразитів . Якщо тест не показує жодних загроз, він не гарантує, що ваш сайт повністю безпечний, це просто показує, що сайт не представляє безпосередньої загрози для відвідувачів.

Другий модуль безпеки, який ми рекомендуємо використовувати, - це Модуль двофакторної аутентифікації (TFA) щоб запобігти отриманню доступу до вашого сайту. Примітка: Цей модуль в даний час переноситься на Drupal 8. KeyCDN тепер є двофакторна аутентифікація так що ви можете захистити Drupal на своєму веб-хостингу, а також на своєму постачальнику CDN.

4. Блокувати погані боти

Є завжди погані боти, скрепери і сканери, що потрапляють у ваші сайти Drupal і крадуть вашу пропускну здатність. Див. Повний список ботів на botreports.com . Багато з згаданих вище модулів безпеки можуть завадити блокуванню поганих роботів, але іноді може знадобитися зробити це на рівні сервера. Якщо ви хочете заблокувати кілька рядків User-Agent одночасно, ви можете додати наступний файл до вашого файлу .htaccess.

RewriteEngine На RewriteCond% {HTTP_USER_AGENT} ^. * (Agent1 | Wget | Catall Spider). * $ [NC] RewriteRule. * - [F, L]

Або ви також можете використовувати директиву BrowserMatchNoCase так:

BrowserMatchNoCase "agent1" боти BrowserMatchNoCase "Wget" боти BrowserMatchNoCase "Catall Spider" боти Замовлення Дозволити, Заборонити Дозволити від ALL Deny від env = bots

А ось приклад на Nginx.

if ($ http_user_agent ~ (agent1 | Wget | Catall Spider)) {return 403; }

KeyCDN тепер має функцію, якою ви можете ввімкнути блокувати погані боти на стороні CDN, щоб заощадити гроші на пропускній здатності.

5. Завжди використовуйте безпечні з'єднання

Незалежно від того, де ви знаходитесь, ви завжди повинні намагатися забезпечити безпеку з'єднань, які ви використовуєте. Ви повинні використовувати шифрування SFTP, якщо ваш веб-хост надає його , або SSH. Якщо ви використовуєте клієнт FTP, типовий порт для SFTP зазвичай становить 22.

Примітка: Деякі клієнти FTP зберігають паролі, закодовані або навіть у вигляді звичайного тексту на вашому комп'ютері. Навіть деякі закодовані паролі можна перетворити назад на оригінал. Ми рекомендуємо не зберігати паролі FTP у клієнті або налаштовувати те, що деякі викликають a головний пароль .

Важливо також переконатися, що ви правила брандмауера встановлено на домашньому маршрутизаторі. І пам'ятайте, коли ви працюєте з громадського місця, як інтернет-кафе або Starbucks, це не довірені мережі.

Ваш веб-хостингу, де ваш сайт проживає також повинні бути запущені забезпечений хостинг. Це означає, що вони повинні працювати в актуальному стані і підтримувати версії PHP, MySQL, ізоляцію облікового запису, брандмауери веб-додатків і т.д. Будьте обережні з дешевими загальними хостами, оскільки ви можете зіштовхнутися з проблемами, якщо вони переповнені серверами та обмінюються IP-адресами.

6. Перевірте права доступу до файлів

Щоб захистити свій веб-сайт, потрібно переконатися і використовувати правильні права доступу до файлів. Кожен каталог і файл мають різні дозволи, які дозволяють людям читати, писати і змінювати їх. Якщо ваші дозволи занадто вільні, це може відкрити двері для зловмисника, і якщо вони будуть занадто обмежувати, це може порушити встановлення в Drupal як модулі, а ядро ​​Drupal має можливість писати до певних каталогів.

У Drupal є хороша документація забезпечення прав доступу до файлів і володіння ними .

7. Блокувати доступ до важливих файлів

Ви можете обмежити доступ до деяких конфіденційних файлів, таких як файл authorize.php, файл upgrade.php, файл cron.php і файл install.php через .htaccess. Таким чином, ніхто, крім вас, не може ввести основні файли вашого сайту. Див. Приклад нижче.

<FilesMatch "(авторизуйте | cron | install | upgrade) php"> Відхилити замовлення, дозволити відмовитися від всіх Allow з 127.0.0.1 </FilesMatch>

8. Безпека бази даних

Вам не тільки потрібно перевіряти дозволи на ваші файли і блокувати доступ до важливих файлів, але є також речі, які можна зробити, щоб посилити безпеку на вашій базі даних Drupal. Перше, що ми рекомендуємо - це використовувати інший префікс таблиці. Якщо ви змінили це на щось подібне до x3sdf_, то це буде набагато важче вгадати зловмисником і допоможе запобігти ін'єкції SQL.

Ви можете змінити префікс таблиці на екрані установки, коли ви встановлюєте Drupal. На етапі налаштування бази даних просто натисніть кнопку "Додаткові параметри", щоб побачити префікс хоста, номера порту та імені таблиці.

Джерело: Встановіть Drupal 8

Якщо у вас вже встановлений Drupal, ви можете змінити префікс бази даних через phpMyAdmin. Друга рекомендація полягає в тому, щоб змінити назву бази даних, щоб ускладнити вгадування. Особливо, якщо ви назвали вашу базу даних

Вона завжди повертається до переходу до “безпечного Інтернету”. Для сайтів електронної комерції причиною необхідності сертифіката SSL є те, що вони обробляють конфіденційні дані. Для інших сайтів найважливішою причиною цього є ваша сторінка входу в Drupal. Якщо ви не працюєте над з'єднанням HTTPS, ваше ім'я користувача та пароль надсилаються в Інтернеті . Багато людей стверджують, що блоги та інформаційні сайти не повинні працювати на HTTPS, але наскільки важливі ваші реєстраційні дані? Крім того, багато сайтів мають декількох авторів, що входять в систему з різноманітних мереж, тому запуск захищеного з'єднання може лише допомогти зміцнити безпеку Drupal.

З SEO переваги HTTPs і переваги продуктивності HTTP / 2 немає причин не використовувати сертифікат SSL. І KeyCDN тепер також пропонує безкоштовні SSL-сертифікати з нашою шифрувати інтеграцію.

Заголовки безпеки HTTP забезпечують ще один рівень безпеки для вашого сайту Drupal, допомагаючи пом'якшити атак і вразливостей безпеки. Зазвичай вони вимагають лише невеликої зміни конфігурації на веб-сервері. Ці заголовки повідомляють вашому веб-переглядачу, як поводитись під час обробки вмісту вашого сайту. Нижче наведено шість загальних заголовків безпеки HTTP, які ми рекомендуємо реалізувати та оновити.

Переконайтеся в тому, щоб перевірити наш поглиблений пост Заголовки безпеки HTTP .

Резюме

Як ви можете бачити, існує багато способів укріпити вашу безпеку у Drupal. Від оновлення основних модулів і модулів Drupal, розумного використання імен користувачів і паролів, використання плагінів безпеки, захищених з'єднань, трюків безпеки бази даних, двофакторної аутентифікації, прав доступу до файлів, використання сертифіката SSL тощо. Багато з цих рекомендацій можуть бути реалізовані за лічені хвилини, і ви можете спокійно відпочити, знаючи ваш сайт Drupal трохи більш безпечним від зловмисників і хакерів.

Чи є інші хороші поради з Drupal безпеки, які ви думаєте, що ми пропустили? Якщо так, то повідомте нам про це нижче!

Які вони є вразливостями?
Багато людей стверджують, що блоги та інформаційні сайти не повинні працювати на HTTPS, але наскільки важливі ваші реєстраційні дані?
Чи є інші хороші поради з Drupal безпеки, які ви думаєте, що ми пропустили?

Новости

Отель «Централь» Официальный сайт 83001, Украина, г. Донецк, ул. Артема, 87
Тел.: +38 062 332-33-32, 332-27-71
[email protected]
TravelLine: Аналитика


Студия web-дизайна Stoff.in © 2008