7 استراتيجيات أمان دروبال تحتاج إلى تنفيذها على الفور! (يشمل أفضل 9 وحدات أمان دروبال)

إن أمان موقع الويب ليس هدفًا لمرة واحدة ولكنه عملية مستمرة تتطلب اهتمامًا مستمرًا. من الأفضل دائمًا منع وقوع كارثة بدلاً من الاستجابة لها. باستخدام موقع ويب دروبال ، يمكنك أن تكون واثقًا من أن فريق أمان دروبال سيحل مشكلات الأمان التي تم الإبلاغ عنها.

قام دروبال بتشغيل الملايين من مواقع الويب ، والعديد منها يتعامل مع بيانات بالغة الأهمية. مما لا يثير الدهشة ، أن دروبال كان CMS المفضل لمواقع الويب التي تتعامل مع المعلومات الهامة مثل المواقع الحكومية ، والمؤسسات المصرفية والمالية ، ومتاجر التجارة الإلكترونية ، وما إلى ذلك. تعالج تحديثات وميزات أمان دروبال جميع المخاطر الأمنية العشرة الأولى لـ OWASP (مشروع أمان تطبيق الويب المفتوح ).

ومع ذلك ، فإن المسؤولية تقع على عاتقك في النهاية لضمان أمان موقع الويب الخاص بك من خلال اتباع أفضل الممارسات الأمنية وتنفيذ استراتيجيات الأمان المتطورة باستمرار. اقرأ المزيد لمعرفة كيفية ذلك.

ثغرات أمنية دروبال

وغني عن القول أن المجتمع يأخذ الأمن في دروبال على محمل الجد ويواصل إصدار تحديثات / تصحيحات أمان دروبال. فريق دروبال الأمني ​​دائمًا استباقي وجاهز مع التصحيحات حتى قبل ظهور الثغرة على الملأ. على سبيل المثال ، أصدر فريق دروبال الأمني ​​تحديث الثغرة الأمنية - SA-CORE-2018-002 قبل أيام من استغلالها فعليًا (Drupalgeddon2). تم إصدار التصحيحات وتحديثات أمان Drupal قريبًا ، لتنصح مسؤولي موقع Drupal بتحديث مواقع الويب الخاصة بهم.

نقلاً عن Dries من إحدى مدوناته حول الثغرة الأمنية - "يتبع فريق Drupal Security" سياسة إفشاء منسقة ": تظل المشكلات خاصة حتى يتم نشر إصلاح. يتم إصدار إعلان عام عند معالجة التهديد وتتوفر أيضًا نسخة آمنة من دروبال كور. حتى عندما يتم توفير إصلاح للأخطاء ، فإن فريق Drupal Security يكون مدروسًا للغاية في اتصالاته ".

بعض الأفكار المثيرة للاهتمام حول إحصائيات نقاط الضعف في دروبال حسب تفاصيل مكافحة التطرف العنيف:

1. حافظ على الهدوء والبقاء على اطلاع دائم - تحديثات دروبال الأمنية

فريق دروبال الأمني ​​دائمًا على أهبة الاستعداد للبحث عن نقاط الضعف. يتم إصدار التصحيحات / تحديثات أمان Drupal فورًا بمجرد العثور عليها. أيضًا ، بعد دروبال 8 واعتماد الابتكار المستمر ، أصبحت الإصدارات الثانوية أكثر تكرارًا. وقد أدى ذلك إلى تحديثات دروبال سهلة وسريعة لإصدار أفضل وأكثر أمانًا.
إن التأكد من تحديث إصدار دروبال والوحدات النمطية الخاصة بك هو أقل ما يمكنك فعله لضمان سلامة موقع الويب الخاص بك. يظل المساهمون في Drupal على دراية بالأمور ويبحثون دائمًا عن أي تهديدات أمنية قد تؤدي إلى كارثة. لا تأتي تحديثات Drupal مع ميزات جديدة فحسب ، بل تأتي أيضًا مع تصحيحات الأمان وإصلاحات الأخطاء. يتم نشر تحديثات وإعلانات أمان Drupal على رسائل البريد الإلكتروني للمستخدمين ويتعين على مسؤولي الموقع تحديث إصداراتهم لضمان الأمان.

2. إدارة المدخلات الخاصة بك

عادة ما تجمع مواقع الويب التفاعلية مدخلات من المستخدمين. بصفتك مسؤولي موقع الويب ، ما لم تقم بإدارة هذه المدخلات والتعامل معها بشكل مناسب ، فإن موقع الويب الخاص بك معرض لخطر أمني كبير. يمكن للقراصنة إدخال أكواد SQL التي يمكن أن تسبب ضررًا كبيرًا لبيانات موقع الويب الخاص بك.
قد يؤدي منع المستخدمين من إدخال كلمات خاصة بـ SQL مثل "SELECT" أو "DROP" أو "DELETE" إلى الإضرار بتجربة المستخدم لموقعك على الويب. بدلاً من ذلك ، مع الأمان في دروبال ، يمكنك استخدام وظائف الهروب أو التصفية المتوفرة في واجهة برمجة تطبيقات قاعدة البيانات لتجريد وتصفية عمليات حقن SQL الضارة هذه. يعد تعقيم الكود الخاص بك هو الخطوة الأكثر أهمية نحو موقع ويب دروبال آمن.

3. دروبال 9 الأمن

كيف يساعد دروبال 9 في بناء موقع أكثر قوة وأمانًا؟

• Symfony - مع اعتماد Drupal 9 لإطار عمل Symfony ، فقد فتح الأبواب أمام العديد من المطورين بخلاف قصرهم على مطوري Drupal الأساسيين فقط. لا يعتبر Symfony إطار عمل أكثر أمانًا فحسب ، بل إنه جلب أيضًا المزيد من المطورين ذوي الرؤى المختلفة لإصلاح الأخطاء وإنشاء تصحيحات الأمان.
• قوالب Twig - كما ناقشنا للتو حول تعقيم الكود الخاص بك للتعامل مع المدخلات بشكل أفضل ، إليك هنا لإخبارك أنه مع Drupal ، تم الاهتمام به بالفعل. كيف؟ بفضل اعتماد Drupal 9 لـ Twig كمحرك نموذجي لها. مع Twig ، لن تحتاج إلى أي تصفية إضافية وهروب من المدخلات حيث يتم تعقيمها تلقائيًا. بالإضافة إلى ذلك ، فإن تطبيق Twig للطبقات المنفصلة بين المنطق والعرض التقديمي يجعل من المستحيل تشغيل استعلامات SQL أو إساءة استخدام طبقة السمة.
• WYSIWYG أكثر أمانًا - يعد محرر WYSIWYG في Drupal أداة تحرير رائعة للمستخدمين ولكن يمكن أيضًا إساءة استخدامه لتنفيذ هجمات مثل هجمات XSS. مع اتباع دروبال 9 لأفضل ممارسات دروبال الأمنية ، فإنه يسمح الآن باستخدام تنسيقات HTML المفلترة فقط. أيضًا ، لمنع المستخدمين من إساءة استخدام الصور ولمنع CSRF (طلب التزوير عبر الموقع) ، تسمح ميزة تصفية النص الأساسية في دروبال للمستخدمين باستخدام الصور المحلية فقط.
• مبادرة إدارة التهيئة (CMI) - تعمل مبادرة دروبال هذه بشكل رائع لمسؤولي ومالكي المواقع لأنها تتيح لهم تتبع التكوين في الكود. سيتم تتبع أي تغييرات في تكوين الموقع ومراجعتها ، مما يسمح بمراقبة صارمة على تكوين موقع الويب.

4. اختر وحدات دروبال بحكمة

قبل تثبيت أي وحدة ، تأكد من إلقاء نظرة على مدى نشاطها. هل مطورو الوحدة نشيطون بدرجة كافية؟ هل يطلقون تحديثات دروبال الأمنية في كثير من الأحيان؟ هل تم تنزيله من قبل أم أنك أول سكيب ماعز؟ ستجد جميع التفاصيل المذكورة في أسفل صفحة تنزيل الوحدات. تأكد أيضًا من تحديث الوحدات النمطية الخاصة بك وإلغاء تثبيت الوحدات التي لم تعد تستخدمها.

5. وحدات دروبال الأمنية للإنقاذ

تمامًا مثل الملابس ذات الطبقات التي تعمل بشكل أفضل من كنزة صوفية سميكة واحدة للتدفئة خلال فصل الشتاء ، يكون موقع الويب الخاص بك محميًا بشكل أفضل من خلال نهج متعدد الطبقات. يمكن لوحدات أمان Drupal أن تمنح موقع الويب الخاص بك طبقة إضافية من الأمان حوله.

التحديثات التلقائية

هذه وحدة نمطية تمت المساهمة بها حاليًا ولكنها ستنتقل قريبًا إلى المركز الأساسي في دروبال 10. الهدف من مبادرة التحديثات التلقائية هو توفير طريقة سهلة وآمنة لتحديث موقع ويب دروبال تلقائيًا. يساعد في تحديث موقعك تلقائيًا باستخدام التصحيحات الأساسية وإصدارات الأمان. يتم اكتشاف أي مشكلات أثناء عملية التحديث والإبلاغ عنها حتى لا تضطر إلى اكتشافها لاحقًا.

أمان تسجيل الدخول

تضمن هذه الوحدة الأمان في دروبال من خلال السماح لمسؤول الموقع بإضافة قيود مختلفة على تسجيل دخول المستخدم. يمكن لوحدة أمان تسجيل الدخول دروبال تقييد عدد محاولات تسجيل الدخول غير الصالحة قبل حظر الحسابات. يمكن رفض الوصول إلى عناوين IP إما بشكل مؤقت أو دائم.

توثيق ذو عاملين

باستخدام وحدة الحماية Drupal هذه ، يمكنك إضافة طبقة إضافية من المصادقة بمجرد أن يقوم المستخدم بتسجيل الدخول باستخدام معرف المستخدم وكلمة المرور. مثل إدخال رمز تم إرساله إلى هواتفهم المحمولة.

سياسة كلمة المرور

هذه وحدة أمان Drupal رائعة تتيح لك إضافة طبقة أخرى من الأمان إلى نماذج تسجيل الدخول الخاصة بك ، وبالتالي منع الروبوتات والانتهاكات الأمنية الأخرى. يفرض قيودًا معينة على كلمات مرور المستخدم - مثل القيود المفروضة على الطول ونوع الحرف والحالة (الأحرف الكبيرة / الصغيرة) وعلامات الترقيم وما إلى ذلك ، كما أنه يجبر المستخدمين على تغيير كلمات المرور بانتظام (ميزة انتهاء صلاحية كلمة المرور).

منع تعداد اسم المستخدم

بشكل افتراضي ، يتيح لك دروبال معرفة ما إذا كان اسم المستخدم الذي تم إدخاله غير موجود أو موجود (إذا كانت بيانات الاعتماد الأخرى خاطئة). يمكن أن يكون هذا رائعًا إذا حاول أحد المتطفلين إدخال أسماء مستخدمين عشوائية فقط لمعرفة اسم مستخدم صالح بالفعل. تعمل هذه الوحدة على تمكين الأمان في دروبال وتمنع مثل هذه الهجمات عن طريق تغيير رسالة الخطأ القياسية.

الوصول إلى المحتوى

كما يوحي الاسم ، تتيح لك هذه الوحدة منح تحكم أكثر تفصيلاً في الوصول إلى المحتوى الخاص بك. يمكن تحديد كل نوع محتوى باستخدام أذونات عرض مخصصة أو تعديل أو حذف. يمكنك إدارة أذونات أنواع المحتويات حسب الدور والمؤلف.

طقم الأمان

توفر وحدة أمان دروبال العديد من ميزات التعامل مع المخاطر. يمكن معالجة الثغرات الأمنية مثل البرمجة النصية عبر المواقع (أو الاستنشاق) و CSRF و Clickjacking وهجمات التنصت وغير ذلك بسهولة مع وحدة الأمان Drupal 9 هذه.

كلمة التحقق

بقدر ما نكره إثبات إنسانيتنا ، ربما تكون CAPTCHA واحدة من أفضل وحدات أمان Drupal المتوفرة لتصفية البريد الإلكتروني العشوائي غير المرغوب فيه. تمنع وحدة دروبال هذه عمليات إرسال البرامج النصية الآلية من روبوتات السبام ويمكن استخدامها في أي شكل ويب لموقع ويب دروبال

6. تحقق من أذوناتك

يسمح لك دروبال بالحصول على عدة أدوار ومستخدمين مثل المسؤولين ، والمستخدمين المصادق عليهم ، والمستخدمين المجهولين ، والمحررين ، إلخ. من أجل ضبط أمان موقع الويب الخاص بك ، يجب السماح لكل من هذه الأدوار بأداء نوع معين فقط من العمل. على سبيل المثال ، يجب منح المستخدم المجهول أقل الأذونات مثل عرض المحتوى فقط. بمجرد تثبيت Drupal و / أو إضافة المزيد من الوحدات النمطية ، لا تنسَ تعيين أذونات الوصول يدويًا ومنحها لكل دور.

7. احصل على HTTPS

أراهن أنك تعلم بالفعل أن أي حركة مرور يتم إرسالها عبر HTTP فقط يمكن أن يتم تطفلها وتسجيلها من قبل أي شخص تقريبًا. يمكن للمهاجم الحصول على معلومات مثل معرف تسجيل الدخول وكلمة المرور ومعلومات الجلسة الأخرى واستغلالها. إذا كان لديك موقع ويب للتجارة الإلكترونية ، فإن هذا يصبح أكثر أهمية لأنه يتعامل مع الدفع والتفاصيل الشخصية. سيؤدي تثبيت شهادة SSL على الخادم الخاص بك إلى تأمين الاتصال بين المستخدم والخادم عن طريق تشفير البيانات التي يتم نقلها. يمكن لموقع HTTPS أيضًا تحسين تصنيف مُحسّنات محرّكات البحث لديك - مما يجعله يستحق الاستثمار تمامًا.

افكار اخيرة

كما يقول المثل القديم - توقع الأفضل ولكن خطط للأسوأ. بشكل افتراضي ، يعد دروبال إطار عمل آمنًا للغاية لإدارة المحتوى ، ولكنك ستظل بحاجة إلى تنفيذ استراتيجيات الأمان واتباع أفضل ممارسات دروبال الأمنية لنوم هانئ ليلاً. يجلب دروبال 9 مجموعة جديدة كاملة من ميزات الأمان لموقع ويب أكثر قوة وأمانًا. ومع ذلك ، لا غنى عن تحديث موقع الويب الخاص بك بتحديثات دروبال الأمنية. تلعب كتابة التعليمات البرمجية النظيفة والآمنة دورًا مهمًا في أمان موقع الويب الخاص بك. اختر وكالة تطوير دروبال خبيرة يمكنها تزويدك باستراتيجيات أمان وخدمات تنفيذ فعالة.

وجدت هذه المقالة مفيدة؟ إليك عنوان URL صغير جدًا لهذه المقالة لنسخه أو تضمينه أو مشاركته:

bit.ly/3UPJbap

انقر لنسخ URL إلى الحافظة الخاصة بك