• Beranda
  • Artikel
  • SEO
  • 7 Strategi Keamanan Drupal yang perlu Anda terapkan segera! (Termasuk Modul Keamanan Drupal 9 teratas)

7 Strategi Keamanan Drupal yang perlu Anda terapkan segera! (Termasuk Modul Keamanan Drupal 9 teratas)

Diterbitkan: 2022-12-13

Keamanan situs web bukanlah tujuan satu kali tetapi proses berkelanjutan yang membutuhkan perhatian terus-menerus. Itu selalu lebih baik untuk mencegah bencana daripada menanggapinya. Dengan situs web Drupal, Anda dapat yakin bahwa tim keamanan Drupal akan menyelesaikan masalah keamanan yang dilaporkan.

Drupal telah memberdayakan jutaan situs web, banyak di antaranya menangani data yang sangat penting. Tidak mengherankan, Drupal telah menjadi CMS pilihan untuk situs web yang menangani informasi penting seperti situs web pemerintah, perbankan dan lembaga keuangan, toko e-Commerce, dll. Pembaruan dan fitur keamanan Drupal mengatasi semua 10 risiko keamanan teratas dari OWASP (Open Web Application Security Project ).

Namun, pada akhirnya Anda bertanggung jawab untuk memastikan situs web Anda aman dengan mengikuti praktik terbaik keamanan dan menerapkan strategi keamanan yang terus berkembang. Baca lebih lanjut untuk mengetahui caranya.

Strategi Keamanan Drupal

Kerentanan Keamanan Drupal

Tak perlu dikatakan lagi bahwa komunitas memperhatikan keamanan di Drupal dengan sangat serius dan terus merilis pembaruan/tambalan keamanan Drupal. Tim keamanan Drupal selalu proaktif dan siap dengan tambalan bahkan sebelum kerentanan dipublikasikan. Misalnya, tim keamanan Drupal merilis pembaruan kerentanan keamanan - SA-CORE-2018-002 hari sebelum benar-benar dieksploitasi (Drupalgeddon2). Tambalan dan pembaruan keamanan Drupal segera dirilis, menyarankan admin situs Drupal untuk memperbarui situs web mereka.

Mengutip Dries dari salah satu blognya tentang kerentanan keamanan – “Tim Keamanan Drupal mengikuti "kebijakan pengungkapan terkoordinasi": masalah tetap bersifat pribadi sampai ada perbaikan yang dipublikasikan. Pengumuman publik dibuat ketika ancaman telah diatasi dan versi inti Drupal yang aman juga tersedia. Bahkan ketika perbaikan bug tersedia, Tim Keamanan Drupal sangat berhati-hati dengan komunikasinya.”


Beberapa wawasan menarik tentang statistik kerentanan Drupal oleh Detail CVE :

Kerentanan

Kerentanan berdasarkan jenis

1. Tetap Tenang dan Tetap Perbarui – Pembaruan Keamanan Drupal

Tim keamanan Drupal selalu waspada terhadap kerentanan. Tambalan / Pembaruan keamanan Drupal segera dirilis segera setelah mereka menemukannya. Selain itu, setelah Drupal 8 dan penerapan inovasi berkelanjutan, rilis minor lebih sering dilakukan. Ini telah menghasilkan pembaruan Drupal yang mudah dan cepat dari versi yang lebih baik dan lebih aman.
Memastikan versi dan modul Drupal Anda mutakhir adalah hal yang paling tidak dapat Anda lakukan untuk memastikan keamanan situs web Anda. Kontributor Drupal tetap berada di atas segalanya dan selalu mencari ancaman keamanan apa pun yang dapat menyebabkan bencana. Pembaruan Drupal tidak hanya hadir dengan fitur baru tetapi juga tambalan keamanan dan perbaikan bug. Pembaruan dan pengumuman keamanan Drupal diposting ke email pengguna dan admin situs harus memperbarui versi mereka untuk memastikan keamanan.

2. Kelola input Anda

Situs web interaktif biasanya mengumpulkan masukan dari pengguna. Sebagai admin situs web, kecuali jika Anda mengelola dan menangani input ini dengan tepat, situs web Anda memiliki risiko keamanan yang tinggi. Peretas dapat menyuntikkan kode SQL yang dapat menyebabkan kerusakan besar pada data situs web Anda.
Menghentikan pengguna Anda memasukkan kata-kata khusus SQL seperti "PILIH", "JATUHKAN", atau "HAPUS" dapat membahayakan pengalaman pengguna situs web Anda. Sebagai gantinya, dengan keamanan di Drupal, Anda dapat menggunakan fungsi pelolosan atau pemfilteran yang tersedia di API basis data untuk menghapus dan memfilter injeksi SQL yang berbahaya tersebut. Membersihkan kode Anda adalah langkah paling penting menuju situs web Drupal yang aman.

3. Keamanan Drupal 9

Bagaimana Drupal 9 membantu membangun situs web yang lebih kuat dan aman?

  • Symfony – Dengan Drupal 9 mengadopsi kerangka kerja Symfony, ini membuka pintu bagi lebih banyak pengembang selain membatasi mereka hanya untuk pengembang inti Drupal. Symfony tidak hanya kerangka kerja yang lebih aman, tetapi juga membawa lebih banyak pengembang dengan wawasan berbeda untuk memperbaiki bug dan membuat tambalan keamanan.
  • Twig Templates – Seperti yang baru saja kita diskusikan tentang membersihkan kode Anda untuk menangani input dengan lebih baik, ini untuk memberi tahu Anda bahwa dengan Drupal, itu sudah diurus. Bagaimana? Berkat adopsi Twig oleh Drupal 9 sebagai mesin templatenya. Dengan Twig, Anda tidak memerlukan pemfilteran tambahan dan keluar dari input karena secara otomatis disanitasi. Selain itu, penerapan Twig pada lapisan terpisah antara logika dan presentasi, membuatnya tidak mungkin untuk menjalankan kueri SQL atau menyalahgunakan lapisan tema.
  • WYSIWYG Lebih Aman - Editor WYSIWYG di Drupal adalah alat pengeditan yang bagus untuk pengguna tetapi juga dapat disalahgunakan untuk melakukan serangan seperti serangan XSS. Dengan Drupal 9 mengikuti praktik terbaik keamanan Drupal, sekarang memungkinkan untuk hanya menggunakan format HTML yang difilter. Selain itu, untuk mencegah pengguna menyalahgunakan gambar dan untuk mencegah CSRF (pemalsuan permintaan lintas situs), pemfilteran teks inti Drupal memungkinkan pengguna untuk hanya menggunakan gambar lokal.
  • Inisiatif Manajemen Konfigurasi (CMI) – Inisiatif Drupal ini bekerja sangat baik untuk administrator situs dan pemilik karena memungkinkan mereka untuk melacak konfigurasi dalam kode. Setiap perubahan konfigurasi situs akan dilacak dan diaudit, memungkinkan kontrol ketat atas konfigurasi situs web.

4. Pilih modul Drupal Anda dengan bijak

Sebelum Anda menginstal modul, pastikan Anda melihat seberapa aktif modul tersebut. Apakah pengembang modul cukup aktif? Apakah mereka sering merilis pembaruan keamanan Drupal? Apakah sudah diunduh sebelumnya atau apakah Anda kambing hitam pertama? Anda akan menemukan semua detail yang disebutkan di bagian bawah halaman unduhan modul. Pastikan juga modul Anda diperbarui dan hapus instalan yang tidak lagi Anda gunakan.

5. Modul Keamanan Drupal untuk menyelamatkan

Sama seperti pakaian berlapis bekerja lebih baik daripada satu pullover tebal agar tetap hangat selama musim dingin, situs web Anda paling terlindungi dengan pendekatan berlapis. Modul keamanan Drupal dapat memberi situs web Anda lapisan keamanan ekstra di sekitarnya.

Pembaruan Otomatis

Ini saat ini merupakan modul kontribusi tetapi akan segera pindah ke inti di Drupal 10. Tujuan dari inisiatif pembaruan otomatis adalah untuk menyediakan cara yang mudah, aman, dan terjamin untuk memperbarui situs web Drupal secara otomatis. Ini membantu memperbarui situs Anda secara otomatis dengan tambalan inti dan rilis keamanan. Masalah apa pun selama proses pembaruan terdeteksi dan dilaporkan sehingga Anda tidak perlu mencari tahu nanti.

Keamanan Masuk

Modul ini memastikan keamanan di Drupal dengan mengizinkan administrator situs menambahkan berbagai batasan pada login pengguna. Modul keamanan login Drupal dapat membatasi jumlah upaya login yang tidak valid sebelum memblokir akun. Akses dapat ditolak untuk alamat IP baik sementara atau permanen.

Autentikasi Dua Faktor

Dengan modul keamanan Drupal ini, Anda dapat menambahkan lapisan autentikasi tambahan setelah pengguna masuk dengan ID pengguna dan kata sandi. Seperti memasukkan kode yang sudah dikirim ke ponsel mereka.

Kebijakan kata sandi

Ini adalah modul keamanan Drupal yang hebat yang memungkinkan Anda menambahkan lapisan keamanan lain ke formulir login Anda, sehingga mencegah bot dan pelanggaran keamanan lainnya. Itu memberlakukan batasan tertentu pada kata sandi pengguna – seperti batasan pada panjang, jenis karakter, huruf besar/kecil), tanda baca, dll. Ini juga memaksa pengguna untuk mengubah kata sandi mereka secara teratur (fitur kedaluwarsa kata sandi).

Pencegahan Pencacahan Nama Pengguna

Secara default, Drupal memberi tahu Anda jika nama pengguna yang dimasukkan tidak ada atau ada (jika kredensial lain salah). Ini bisa bagus jika seorang peretas mencoba memasukkan nama pengguna acak hanya untuk menemukan nama pengguna yang benar-benar valid. Modul ini mengaktifkan keamanan di Drupal dan mencegah serangan semacam itu dengan mengubah pesan kesalahan standar.

Akses Konten

Seperti namanya, modul ini memungkinkan Anda memberikan kontrol akses yang lebih detail ke konten Anda. Setiap jenis konten dapat ditentukan dengan tampilan kustom, izin edit atau hapus. Anda dapat mengelola izin untuk tipe konten berdasarkan peran dan penulis.

Perangkat Keamanan

Modul keamanan Drupal ini menawarkan banyak fitur penanganan risiko. Kerentanan seperti cross-site scripting (atau sniffing), CSRF, Clickjacking, serangan penyadapan, dan lainnya dapat dengan mudah ditangani dan dimitigasi dengan modul keamanan Drupal 9 ini.

Captcha

Meskipun kami benci untuk membuktikan kemanusiaan kami, CAPTCHA mungkin adalah salah satu modul keamanan Drupal terbaik di luar sana untuk memfilter robot spam yang tidak diinginkan. Modul Drupal ini mencegah pengiriman skrip otomatis dari robot spam dan dapat digunakan dalam bentuk web apa pun dari situs web Drupal

6. Periksa Izin Anda

Drupal memungkinkan Anda untuk memiliki banyak peran dan pengguna seperti administrator, pengguna yang diautentikasi, pengguna anonim, editor, dll. Untuk menyempurnakan keamanan situs web Anda, masing-masing peran ini harus diizinkan untuk hanya melakukan jenis pekerjaan tertentu. Misalnya, pengguna anonim harus diberi izin paling sedikit seperti melihat konten saja. Setelah Anda menginstal Drupal dan/atau menambahkan lebih banyak modul, jangan lupa untuk menetapkan dan memberikan izin akses secara manual ke setiap peran.

7. Dapatkan HTTPS

Saya yakin Anda sudah tahu bahwa lalu lintas apa pun yang dikirimkan hanya melalui HTTP dapat diintip dan direkam oleh hampir semua orang. Informasi seperti id login, kata sandi, dan informasi sesi lainnya dapat diambil dan dieksploitasi oleh penyerang. Jika Anda memiliki situs web e-Commerce, ini menjadi lebih penting karena berkaitan dengan pembayaran dan detail pribadi. Menginstal sertifikat SSL di server Anda akan mengamankan koneksi antara pengguna dan server dengan mengenkripsi data yang ditransfer. Situs web HTTPS juga dapat meningkatkan peringkat SEO Anda – yang membuatnya sangat berharga untuk diinvestasikan.

Pikiran Akhir

Seperti pepatah lama - Harapkan yang terbaik tetapi rencanakan yang terburuk. Secara default, Drupal adalah kerangka manajemen konten yang sangat aman, tetapi Anda masih perlu menerapkan strategi keamanan dan mengikuti praktik terbaik keamanan Drupal untuk tidur malam yang nyenyak. Drupal 9 menghadirkan banyak fitur keamanan baru untuk situs web yang lebih kuat dan aman. Meskipun demikian, memperbarui situs web Anda dengan pembaruan keamanan Drupal sangat diperlukan. Menulis kode yang bersih dan aman memainkan peran penting dalam keamanan situs web Anda. Pilih agen pengembangan Drupal ahli yang dapat memberi Anda strategi keamanan dan layanan implementasi yang efektif.

Menemukan artikel ini bermanfaat? Berikut adalah URL yang sangat kecil dari artikel ini untuk Anda salin, sematkan, atau bagikan:

bit.ly/3UPJbap

Klik untuk menyalin URL ke clipboard Anda