• ホームページ
  • 記事
  • SEO
  • 今すぐ実装する必要がある 7 つの Drupal セキュリティ戦略(上位の Drupal 9 セキュリティ モジュールを含む)

今すぐ実装する必要がある 7 つの Drupal セキュリティ戦略(上位の Drupal 9 セキュリティ モジュールを含む)

公開: 2022-12-13

Web サイトのセキュリティは 1 回限りの目標ではなく、常に注意を払う必要がある継続的なプロセスです。 災害に対応するよりも、災害を防ぐ方が常に優れています。 Drupal の Web サイトを使用すると、報告されたセキュリティの問題を Drupal のセキュリティ チームが解決してくれると確信できます。

Drupal は何百万もの Web サイトを動かしており、その多くは非常に重要なデータを扱っています。 当然のことながら、Drupal は、政府の Web サイト、銀行および金融機関、e コマース ストアなどの重要な情報を扱う Web サイトに最適な CMS となっています。Drupal のセキュリティ アップデートと機能は、OWASP (Open Web Application Security Project) の上位 10 のセキュリティ リスクすべてに対処します。 )。

ただし、最終的には、セキュリティのベスト プラクティスに従い、継続的に進化するセキュリティ戦略を実装して、Web サイトを安全に保つ責任はお客様にあります。 詳細については、こちらをご覧ください。

Drupal のセキュリティ戦略

Drupal のセキュリティ脆弱性

コミュニティが Drupal のセキュリティを非常に真剣に受け止めており、Drupal のセキュリティ アップデートやパッチをリリースし続けていることは言うまでもありません。 Drupal のセキュリティ チームは、脆弱性が公開される前であっても、常に積極的にパッチを適用します。 たとえば、Drupal セキュリティ チームは、実際に悪用される (Drupalgeddon2) 数日前に、セキュリティ脆弱性更新プログラム SA-CORE-2018-002 をリリースしました。 パッチと Drupal のセキュリティ アップデートがすぐにリリースされ、Drupal サイト管理者に Web サイトを更新するようアドバイスしました。

セキュリティの脆弱性に関する彼のブログの 1 つからDrupal のセキュリティ チームを引用します。 脅威への対処が完了し、Drupal コアの安全なバージョンも利用可能になった時点で、公式発表が行われます。 バグ修正が利用可能になった場合でも、Drupal セキュリティ チームはコミュニケーションに非常に気を配っています。」


CVE Details による Drupal の脆弱性統計に関する興味深い洞察:

脆弱性

タイプ別の脆弱性

1. 落ち着いて常に最新の状態を保つ – Drupal セキュリティ アップデート

Drupal のセキュリティ チームは、常に脆弱性に注意を払っています。 パッチ / Drupal のセキュリティ アップデートは、見つけ次第すぐにリリースされます。 また、Drupal 8 と継続的なイノベーションの採用後、マイナー リリースがより頻繁に行われます。 これにより、より安全で優れたバージョンの Drupal を簡単かつ迅速に更新できるようになりました。
Drupal のバージョンとモジュールが最新であることを確認することは、Web サイトの安全性を確保するためにできる最低限のことです。 Drupal のコントリビューターは物事を常に把握しており、災害を引き起こす可能性のあるセキュリティの脅威を常に探しています。 Drupal のアップデートには、新機能だけでなく、セキュリティ パッチやバグ修正も含まれます。 Drupal のセキュリティ アップデートとアナウンスはユーザーのメールに投稿され、サイト管理者はセキュリティを確保するためにバージョンを最新の状態に保つ必要があります。

2. 入力を管理する

インタラクティブな Web サイトは通常、ユーザーからの入力を収集します。 Web サイト管理者として、これらの入力を適切に管理および処理しないと、Web サイトは高いセキュリティ リスクにさらされます。 ハッカーは、Web サイトのデータに大きな損害を与える SQL コードを挿入する可能性があります。
ユーザーが「SELECT」、「DROP」、「DELETE」などの SQL 固有の単語を入力できないようにすると、Web サイトのユーザー エクスペリエンスが損なわれる可能性があります。 代わりに、Drupal のセキュリティを使用すると、データベース API で使用可能なエスケープまたはフィルタリング関数を使用して、そのような有害な SQL インジェクションを取り除き、除外できます。 コードをサニタイズすることは、安全な Drupal Web サイトに向けた最も重要なステップです。

3. Drupal 9 のセキュリティ

Drupal 9 は、より堅牢で安全な Web サイトの構築にどのように役立ちますか?

  • Symfony – Drupal 9 が Symfony フレームワークを採用したことで、コアな Drupal 開発者だけに限定されるのではなく、より多くの開発者に門戸が開かれました。 Symfony はより安全なフレームワークであるだけでなく、バ​​グを修正し、セキュリティ パッチを作成するために、さまざまな洞察を持つ開発者を増やしました。
  • Twig テンプレート– 入力をより適切に処理するためにコードをサニタイズすることについて説明したので、Drupal では既に処理されていることをお伝えします。 どのように? Drupal 9 がテンプレート エンジンとして Twig を採用したおかげです。 Twig を使用すると、入力は自動的にサニタイズされるため、追加のフィルタリングや入力のエスケープは必要ありません。 さらに、Twig では、ロジックとプレゼンテーションの間で個別のレイヤーが強制されているため、SQL クエリを実行したり、テーマ レイヤーを悪用したりすることができなくなります。
  • より安全な WYSIWYG - Drupal の WYSIWYG エディターは、ユーザーにとって優れた編集ツールですが、XSS 攻撃などの攻撃を実行するために悪用されることもあります。 Drupal 9 は Drupal セキュリティのベスト プラクティスに従っており、フィルタリングされた HTML 形式のみを使用できるようになりました。 また、ユーザーが画像を悪用したり、CSRF (クロスサイト リクエスト フォージェリ) を防止したりするために、Drupal のコア テキスト フィルタリングにより、ユーザーはローカルの画像のみを使用できます。
  • 構成管理イニシアチブ (CMI) – この Drupal イニシアチブは、サイト管理者や所有者がコードで構成を追跡できるため、非常に効果的です。 サイト構成の変更は追跡および監査されるため、Web サイト構成を厳密に制御できます。

4. Drupal モジュールを賢く選択する

モジュールをインストールする前に、モジュールがどれだけアクティブかを確認してください。 モジュール開発者は十分に活動していますか? Drupal のセキュリティ アップデートは頻繁にリリースされますか? 以前にダウンロードしたことがありますか、それともあなたが最初のスケープゴートですか? 上記のすべての詳細は、モジュールのダウンロード ページの下部にあります。 また、モジュールが更新されていることを確認し、使用しなくなったモジュールをアンインストールします。

5. Drupal セキュリティ モジュールが助けになる

冬の間、厚手のプルオーバーを一枚重ね着するよりも、重ね着した服の方が保温効果が高いのと同じように、ウェブサイトは重ね着した方が効果的に保護されます。 Drupal セキュリティ モジュールを使用すると、Web サイトの周囲に追加のセキュリティ層を設けることができます。

自動的にアップデート

これは現在提供されているモジュールですが、まもなく Drupal 10 のコアに移行する予定です。自動更新イニシアチブの目標は、Drupal Web サイトを自動的に更新するための簡単で安全な方法を提供することです。 コア パッチとセキュリティ リリースでサイトを自動的に更新するのに役立ちます。 更新プロセス中の問題は検出されて報告されるため、後で調べる必要はありません。

ログインセキュリティ

このモジュールは、サイト管理者がユーザー ログインにさまざまな制限を追加できるようにすることで、Drupal のセキュリティを確保します。 Drupal ログイン セキュリティ モジュールは、アカウントをブロックする前に無効なログイン試行の回数を制限できます。 IP アドレスへのアクセスは、一時的または永続的に拒否できます。

二要素認証

この Drupal セキュリティ モジュールを使用すると、ユーザーがユーザー ID とパスワードを使用してログインすると、認証レイヤーを追加できます。 携帯電話に送信されたコードを入力するようなものです。

パスワード ポリシー

これは、ログイン フォームに別のセキュリティ レイヤーを追加して、ボットやその他のセキュリティ侵害を防止できる優れた Drupal セキュリティ モジュールです。 長さ、文字の種類、大文字と小文字 (大文字/小文字)、句読点などの制約など、ユーザーのパスワードに特定の制限を適用します。また、ユーザーに定期的にパスワードを変更するよう強制します (パスワードの有効期限機能)。

ユーザー名の列挙防止

デフォルトでは、Drupal は、入力されたユーザー名が存在しないか存在するか (他の資格情報が間違っている場合) を通知します。 これは、ハッカーがランダムなユーザー名を入力して、実際に有効なユーザー名を見つけようとしている場合に役立ちます。 このモジュールは、Drupal のセキュリティを有効にし、標準エラー メッセージを変更することでそのような攻撃を防ぎます。

コンテンツ アクセス

名前が示すように、このモジュールを使用すると、コンテンツへのより詳細なアクセス制御を行うことができます。 各コンテンツ タイプは、カスタム ビュー、編集、または削除権限で指定できます。 役割と作成者ごとにコンテンツ タイプのアクセス許可を管理できます。

セキュリティキット

この Drupal セキュリティ モジュールは、多くのリスク処理機能を提供します。 この Drupal 9 セキュリティ モジュールを使用すると、クロスサイト スクリプティング (またはスニッフィング)、CSRF、クリックジャッキング、盗聴攻撃などの脆弱性を簡単に処理および軽減できます。

キャプチャ

私たちは人間性を証明することを嫌いますが、CAPTCHA はおそらく不要なスパムボットをフィルタリングするための最高の Drupal セキュリティ モジュールの 1 つです。 この Drupal モジュールは、スパムボットからの自動スクリプト送信を防止し、Drupal Web サイトの任意の Web フォームで使用できます。

6.権限を確認する

Drupal では、管理者、認証済みユーザー、匿名ユーザー、編集者など、複数の役割とユーザーを持つことができます。Web サイトのセキュリティを微調整するには、これらの役割のそれぞれに、特定の種類の作業のみを実行することを許可する必要があります。 たとえば、匿名ユーザーには、コンテンツの表示のみなど、最小限のアクセス許可を与える必要があります。 Drupal をインストールしたり、モジュールを追加したりしたら、各ロールに手動でアクセス許可を割り当てて付与することを忘れないでください。

7. HTTPS を取得する

HTTP だけを介して送信されるトラフィックは、ほとんど誰でも傍受して記録できることをすでにご存じだったと思います。 ログイン ID、パスワード、およびその他のセッション情報などの情報は、攻撃者によって取得され、悪用される可能性があります。 e コマース Web サイトをお持ちの場合、支払いや個人情報を扱うため、これはさらに重要になります。 サーバーに SSL 証明書をインストールすると、転送されるデータが暗号化され、ユーザーとサーバー間の接続が保護されます。 HTTPS Web サイトは、SEO ランキングを向上させることもできます。これは、投資する価値のあるものです。

最終的な考え

古いことわざにあるように、最善を期待し、最悪の事態に備えて計画を立ててください。 デフォルトでは、Drupal は非常に安全なコンテンツ管理フレームワークですが、セキュリティ戦略を実装し、ぐっすり眠るために Drupal セキュリティのベスト プラクティスに従う必要があります。 Drupal 9 は、より堅牢で安全な Web サイトのために、まったく新しい一連のセキュリティ機能をもたらします。 それでも、Drupal のセキュリティ アップデートでウェブサイトを最新の状態に保つことは不可欠です。 クリーンで安全なコードを書くことは、Web サイトのセキュリティにおいて重要な役割を果たします。 効果的なセキュリティ戦略と実装サービスを提供できる専門の Drupal 開発機関を選択してください。

この記事は役に立ちましたか? コピー、埋め込み、または共有するための、この記事の非常に小さな URL を次に示します。

bit.ly/3UPJbap

クリックして URL をクリップボードにコピーします