7 стратегий безопасности Drupal, которые нужно внедрить прямо сейчас! (Включает лучшие модули безопасности Drupal 9)

Безопасность веб-сайта — это не разовая цель, а непрерывный процесс, требующий постоянного внимания. Всегда лучше предотвратить катастрофу, чем реагировать на нее. С веб-сайтом Drupal вы можете быть уверены, что команда безопасности Drupal решит заявленные проблемы безопасности.

На Drupal работают миллионы веб-сайтов, многие из которых обрабатывают чрезвычайно важные данные. Неудивительно, что Drupal является предпочтительной CMS для веб-сайтов, обрабатывающих критически важную информацию, таких как правительственные веб-сайты, банковские и финансовые учреждения, магазины электронной коммерции и т. д. Обновления и функции безопасности Drupal устраняют все 10 основных угроз безопасности OWASP (Open Web Application Security Project). ).

Тем не менее, в конечном итоге ответственность за обеспечение безопасности вашего веб-сайта лежит на вас, следуя передовым методам обеспечения безопасности и внедряя постоянно развивающиеся стратегии безопасности. Узнайте больше, чтобы узнать, как это сделать.

Уязвимости безопасности Drupal

Само собой разумеется, что сообщество очень серьезно относится к безопасности в Drupal и продолжает выпускать обновления и исправления безопасности Drupal. Команда безопасности Drupal всегда активна и готова выпускать исправления еще до того, как уязвимость станет общедоступной. Например, команда безопасности Drupal выпустила обновление для уязвимости безопасности — SA-CORE-2018-002 за несколько дней до того, как она была фактически использована (Drupalgeddon2). Вскоре были выпущены исправления и обновления безопасности Drupal, в которых администраторам сайтов Drupal было рекомендовано обновить свои веб-сайты.

Цитируя Дриса из одного из его блогов об уязвимости безопасности: «Команда безопасности Drupal следует «согласованной политике раскрытия информации»: проблемы остаются конфиденциальными до тех пор, пока не будет опубликовано исправление. Публичное объявление делается, когда угроза устранена, а также доступна безопасная версия ядра Drupal. Даже когда исправление ошибки становится доступным, команда безопасности Drupal очень вдумчива при общении».

Несколько интересных сведений о статистике уязвимостей Drupal от CVE Details:

1. Сохраняйте спокойствие и будьте в курсе – обновления безопасности Drupal

Команда безопасности Drupal всегда начеку и ищет уязвимости. Патчи/обновления безопасности Drupal сразу же выпускаются, как только они их находят. Кроме того, после Drupal 8 и внедрения непрерывных инноваций второстепенные релизы стали более частыми. Это привело к легкому и быстрому обновлению Drupal до лучшей и более безопасной версии.
Убедиться, что ваша версия и модули Drupal обновлены, — это наименьшее, что вы можете сделать для обеспечения безопасности своего веб-сайта. Участники Drupal всегда в курсе событий и всегда ищут любые угрозы безопасности, которые могут привести к катастрофе. Обновления Drupal содержат не только новые функции, но и исправления безопасности и исправления ошибок. Обновления безопасности Drupal и объявления публикуются в электронных письмах пользователей, и администраторы сайтов должны обновлять свои версии для обеспечения безопасности.

2. Администрирование ваших входов

Интерактивные веб-сайты обычно собирают информацию от пользователей. Как администраторы веб-сайтов, если вы не управляете и не обрабатываете эти входные данные надлежащим образом, ваш веб-сайт подвергается высокому риску безопасности. Хакеры могут внедрять коды SQL, которые могут нанести большой вред данным вашего сайта.
Если вы запретите своим пользователям вводить специфические для SQL слова, такие как «SELECT», «DROP» или «DELETE», это может повредить работе вашего веб-сайта. Вместо этого с безопасностью в Drupal вы можете использовать функции экранирования или фильтрации, доступные в API базы данных, для удаления и фильтрации таких вредоносных SQL-инъекций. Очистка вашего кода — самый важный шаг к безопасному веб-сайту Drupal.

3. Безопасность Друпал 9

Как Drupal 9 помогает в создании более надежного и безопасного веб-сайта?

• Symfony . Когда Drupal 9 принял фреймворк Symfony, он открыл двери для многих других разработчиков, не ограничивая их только основными разработчиками Drupal. Мало того, что Symfony является более безопасным фреймворком, он также привлек больше разработчиков с разными знаниями для исправления ошибок и создания исправлений безопасности.
• Шаблоны Twig . Поскольку мы только что обсуждали очистку вашего кода для лучшей обработки входных данных, хочу сказать вам, что в Drupal об этом уже позаботились. Как? Благодаря принятию Drupal 9 Twig в качестве шаблонизатора. С Twig вам не потребуется дополнительная фильтрация и экранирование входных данных, поскольку он автоматически очищается. Кроме того, принудительное использование Twig отдельных уровней между логикой и представлением делает невозможным выполнение SQL-запросов или неправильное использование уровня темы.
• Более безопасный WYSIWYG . Редактор WYSIWYG в Drupal — отличный инструмент редактирования для пользователей, но его также можно использовать не по назначению для проведения атак, таких как XSS-атаки. Благодаря тому, что Drupal 9 следует передовым методам безопасности Drupal, теперь он позволяет использовать только отфильтрованные форматы HTML. Кроме того, чтобы предотвратить неправильное использование изображений пользователями и предотвратить CSRF (подделку межсайтовых запросов), фильтрация основного текста Drupal позволяет пользователям использовать только локальные изображения.
• Инициатива по управлению конфигурацией (CMI) . Эта инициатива Drupal отлично подходит для администраторов и владельцев сайтов, поскольку позволяет им отслеживать конфигурацию в коде. Любые изменения конфигурации сайта будут отслеживаться и проверяться, что позволяет осуществлять строгий контроль над конфигурацией сайта.

4. Выбирайте модули Drupal с умом

Перед установкой модуля обязательно посмотрите, насколько он активен. Достаточно ли активны разработчики модуля? Часто ли они выпускают обновления безопасности Drupal? Это было загружено раньше или вы первый козел отпущения? Вы найдете все упомянутые детали в нижней части страницы загрузки модулей. Также убедитесь, что ваши модули обновлены, и удалите те, которые вы больше не используете.

5. Модули безопасности Drupal спешат на помощь

Точно так же, как многослойная одежда работает лучше, чем один толстый свитер, чтобы согреться зимой, ваш веб-сайт лучше всего защищен многослойным подходом. Модули безопасности Drupal могут дать вашему сайту дополнительный уровень безопасности.

Автоматические обновления

В настоящее время это дополнительный модуль, но вскоре он будет перемещен в ядро ​​​​Drupal 10. Цель инициативы по автоматическим обновлениям — предоставить простой, безопасный и надежный способ автоматического обновления веб-сайта Drupal. Это помогает автоматически обновлять ваш сайт с помощью основных исправлений и выпусков безопасности. Любые проблемы в процессе обновления обнаруживаются и о них сообщается, поэтому вам не придется выяснять их позже.

Безопасность входа

Этот модуль обеспечивает безопасность в Drupal, позволяя администратору сайта добавлять различные ограничения на вход пользователя в систему. Модуль безопасности входа в систему Drupal может ограничивать количество неверных попыток входа перед блокировкой учетных записей. Доступ может быть запрещен для IP-адресов временно или постоянно.

Двухфакторная аутентификация

С помощью этого модуля безопасности Drupal вы можете добавить дополнительный уровень аутентификации, как только ваш пользователь войдет в систему с идентификатором пользователя и паролем. Например, ввести код, который был отправлен на их мобильный телефон.

Политика паролей

Это отличный модуль безопасности Drupal, который позволяет вам добавить еще один уровень безопасности к вашим формам входа, тем самым предотвращая ботов и другие нарушения безопасности. Он накладывает определенные ограничения на пользовательские пароли, такие как ограничения на длину, тип символов, регистр (верхний/нижний регистр), пунктуацию и т. д. Он также заставляет пользователей регулярно менять свои пароли (функция истечения срока действия пароля).

Предотвращение перечисления имени пользователя

По умолчанию Drupal сообщает, если введенное имя пользователя не существует или существует (если другие учетные данные неверны). Это может быть здорово, если хакер пытается ввести случайные имена пользователей только для того, чтобы выяснить, действительно ли они действительны. Этот модуль обеспечивает безопасность в Drupal и предотвращает такие атаки, изменяя стандартное сообщение об ошибке.

Доступ к контенту

Как следует из названия, этот модуль позволяет более подробно контролировать доступ к вашему контенту. Каждый тип контента может быть указан с пользовательскими разрешениями на просмотр, редактирование или удаление. Вы можете управлять разрешениями для типов контента по ролям и авторам.

Комплект безопасности

Этот модуль безопасности Drupal предлагает множество функций управления рисками. Уязвимости, такие как межсайтовый скриптинг (или сниффинг), CSRF, Clickjacking, атаки с прослушиванием и т. д., можно легко обработать и смягчить с помощью этого модуля безопасности Drupal 9.

Капча

Как бы нам не хотелось доказывать свою человечность, CAPTCHA, вероятно, является одним из лучших модулей безопасности Drupal для фильтрации нежелательных спам-ботов. Этот модуль Drupal предотвращает автоматическую отправку скриптов от спам-ботов и может использоваться в любой веб-форме веб-сайта Drupal.

6. Проверьте свои разрешения

Drupal позволяет вам иметь несколько ролей и пользователей, таких как администраторы, аутентифицированные пользователи, анонимные пользователи, редакторы и т. д. Чтобы точно настроить безопасность вашего веб-сайта, каждой из этих ролей должно быть разрешено выполнять только определенный тип работы. Например, анонимному пользователю должны быть предоставлены минимальные разрешения, такие как только просмотр содержимого. После установки Drupal и/или добавления дополнительных модулей не забудьте вручную назначить и предоставить права доступа для каждой роли.

7. Получить HTTPS

Бьюсь об заклад, вы уже знали, что любой трафик, передаваемый только через HTTP, может отслеживаться и записываться практически кем угодно. Такая информация, как ваш логин, пароль и другая информация о сеансе, может быть захвачена и использована злоумышленником. Если у вас есть веб-сайт электронной коммерции, это становится еще более важным, поскольку речь идет об оплате и личных данных. Установка SSL-сертификата на ваш сервер защитит соединение между пользователем и сервером за счет шифрования передаваемых данных. Веб-сайт HTTPS также может улучшить ваш SEO-рейтинг, что делает его полностью оправданным.

Последние мысли

Как гласит старая поговорка - жди лучшего, но планируй худшее. По умолчанию Drupal представляет собой очень безопасную среду управления контентом, но вам все равно нужно будет реализовать стратегии безопасности и следовать передовым методам безопасности Drupal, чтобы хорошо выспаться. Drupal 9 предлагает совершенно новый набор функций безопасности для более надежного и безопасного веб-сайта. Тем не менее, поддержание вашего веб-сайта в актуальном состоянии с помощью обновлений безопасности Drupal необходимо. Написание чистого и безопасного кода играет важную роль в безопасности вашего сайта. Выберите экспертное агентство по разработке Drupal, которое может предоставить вам эффективные стратегии безопасности и услуги по внедрению.

Нашли эту статью полезной? Вот очень маленький URL-адрес этой статьи, который вы можете скопировать, встроить или поделиться:

бит.лы/3UPJbap

Нажмите, чтобы скопировать URL в буфер обмена