• Anasayfa
  • Nesne
  • SEO
  • Hemen uygulamanız gereken 7 Drupal Güvenlik Stratejisi! (En iyi Drupal 9 Güvenlik Modüllerini içerir)

Hemen uygulamanız gereken 7 Drupal Güvenlik Stratejisi! (En iyi Drupal 9 Güvenlik Modüllerini içerir)

Yayınlanan: 2022-12-13

Web sitesi güvenliği, tek seferlik bir hedef değil, sürekli dikkat gerektiren devam eden bir süreçtir. Bir felaketi önlemek, bir felakete müdahale etmekten her zaman daha iyidir. Bir Drupal web sitesiyle, Drupal güvenlik ekibinin bildirilen güvenlik sorunlarını çözeceğinden emin olabilirsiniz.

Drupal, çoğu son derece kritik verileri işleyen milyonlarca web sitesine güç verdi. Şaşırtıcı olmayan bir şekilde Drupal, devlet web siteleri, bankacılık ve finans kurumları, e-Ticaret mağazaları vb. gibi kritik bilgileri işleyen web siteleri için tercih edilen CMS olmuştur. ).

Ancak, en iyi güvenlik uygulamalarını izleyerek ve sürekli gelişen güvenlik stratejilerini uygulayarak web sitenizin güvenli olmasını sağlama sorumluluğu nihayetinde size aittir. Nasıl olduğunu öğrenmek için daha fazlasını okuyun.

Drupal Güvenlik stratejileri

Drupal Güvenlik Açıkları

Topluluğun Drupal'daki güvenliği çok ciddiye aldığını ve Drupal güvenlik güncellemeleri/yamaları yayınlamaya devam ettiğini söylemeye gerek yok. Drupal güvenlik ekibi, bir güvenlik açığı halka açılmadan önce bile her zaman proaktif ve yamalarla hazırdır. Örneğin, Drupal güvenlik ekibi, güvenlik açığı güncellemesi olan SA-CORE-2018-002'yi, istismar edilmeden (Drupalgeddon2) günler önce yayınladı. Yamalar ve Drupal güvenlik güncellemeleri yakında yayınlandı ve Drupal site yöneticilerine web sitelerini güncellemelerini tavsiye etti.

Dries'in güvenlik açığıyla ilgili bloglarından birinden alıntı yapıyor – “Drupal Güvenlik Ekibi, "eşgüdümlü bir açıklama politikası" izliyor: yayınlanan bir düzeltme olana kadar sorunlar gizli kalıyor. Tehdit ele alındığında ve Drupal çekirdeğinin güvenli bir sürümü de mevcut olduğunda genel bir duyuru yapılır. Bir hata düzeltmesi sağlandığında bile, Drupal Güvenlik Ekibi iletişim konusunda çok düşünceli.“


CVE Ayrıntılarından Drupal'ın güvenlik açığı istatistiklerine ilişkin bazı ilginç bilgiler:

güvenlik açıkları

Türe göre güvenlik açıkları

1. Sakin Olun ve Güncel Kalın - Drupal Güvenlik Güncellemeleri

Drupal güvenlik ekibi, güvenlik açıklarını aramak için her zaman tetiktedir. Yamalar / Drupal güvenlik güncellemeleri, buldukları anda hemen yayınlanır. Ayrıca, Drupal 8 ve sürekli yeniliğin benimsenmesinden sonra, küçük yayınlar daha sık görülür. Bu, daha iyi, daha güvenli bir sürüm için kolay ve hızlı Drupal güncellemelerine yol açtı.
Drupal sürümünüzün ve modüllerinizin güncel olduğundan emin olmak, web sitenizin güvenliğini sağlamak için yapabileceğiniz en son şeydir. Drupal'a katkıda bulunanlar her şeyin üstünde kalıyor ve her zaman felakete yol açabilecek herhangi bir güvenlik tehdidi arıyorlar. Drupal güncellemeleri yalnızca yeni özelliklerle değil, aynı zamanda güvenlik yamaları ve hata düzeltmeleriyle birlikte gelir. Drupal güvenlik güncellemeleri ve duyuruları, kullanıcıların e-postalarına gönderilir ve site yöneticileri, güvenliği sağlamak için sürümlerini güncel tutmak zorundadır.

2. Girişlerinizi yönetin

Etkileşimli web siteleri genellikle kullanıcılardan girdi toplar. Web sitesi yöneticileri olarak, bu girdileri uygun şekilde yönetip işlemediğiniz sürece web siteniz yüksek güvenlik riski altındadır. Bilgisayar korsanları, web sitenizin verilerine büyük zarar verebilecek SQL kodlarını enjekte edebilir.
Kullanıcılarınızın "SELECT", "DROP" veya "DELETE" gibi SQL'e özgü sözcükleri girmesini durdurmak, web sitenizin kullanıcı deneyimine zarar verebilir. Bunun yerine, Drupal'daki güvenlikle, bu tür zararlı SQL enjeksiyonlarını ayıklamak ve filtrelemek için veritabanı API'sinde bulunan kaçış veya filtreleme işlevlerini kullanabilirsiniz. Kodunuzu sterilize etmek, güvenli bir Drupal web sitesine giden en önemli adımdır.

3. Drupal 9 Güvenliği

Drupal 9, daha sağlam ve güvenli bir web sitesi oluşturmaya nasıl yardımcı oluyor?

  • Symfony – Drupal 9'un Symfony çerçevesini benimsemesiyle, onları sadece temel Drupal geliştiricileriyle sınırlandırmanın dışında çok daha fazla geliştiriciye kapı açtı. Symfony yalnızca daha güvenli bir çerçeve değil, aynı zamanda hataları düzeltmek ve güvenlik yamaları oluşturmak için farklı görüşlere sahip daha fazla geliştiriciyi de beraberinde getirdi.
  • Twig Şablonları – Girdileri daha iyi işlemek için kodunuzu sterilize etme konusunda tartıştığımız gibi, Drupal ile bunun zaten halledildiğini söylemek için buradayız. Nasıl? Drupal 9'un şablon motoru olarak Twig'i benimsemesi sayesinde. Twig ile, otomatik olarak sterilize edildiğinden, herhangi bir ek filtrelemeye ve girişlerden kaçmaya ihtiyacınız olmayacak. Ek olarak, Twig'in mantık ve sunum arasında ayrı katmanları zorlaması, SQL sorgularının çalıştırılmasını veya tema katmanının kötüye kullanılmasını imkansız hale getirir.
  • Daha Güvenli WYSIWYG - Drupal'daki WYSIWYG düzenleyici, kullanıcılar için harika bir düzenleme aracıdır ancak XSS saldırıları gibi saldırıları gerçekleştirmek için de kötüye kullanılabilir. Drupal güvenlik en iyi uygulamalarını izleyen Drupal 9 ile artık yalnızca filtrelenmiş HTML biçimlerinin kullanılmasına izin veriyor. Ayrıca, kullanıcıların görüntüleri kötüye kullanmasını önlemek ve CSRF'yi (siteler arası istek sahteciliği) önlemek için Drupal'ın temel metin filtrelemesi, kullanıcıların yalnızca yerel görüntüleri kullanmasına izin verir.
  • Yapılandırma Yönetimi Girişimi (CMI) – Bu Drupal girişimi, yapılandırmayı kodda izlemelerine izin verdiği için site yöneticileri ve sahipleri için harika çalışıyor. Tüm site yapılandırma değişiklikleri izlenecek ve denetlenecek ve web sitesi yapılandırması üzerinde sıkı kontrole izin verilecektir.

4. Drupal modüllerinizi akıllıca seçin

Bir modülü kurmadan önce ne kadar aktif olduğuna baktığınızdan emin olun. Modül geliştiricileri yeterince aktif mi? Drupal güvenlik güncellemelerini sık sık yayınlıyorlar mı? Daha önce indirildi mi yoksa ilk günah keçisi siz misiniz? Bahsedilen tüm detayları modüllerin indirme sayfasının altında bulacaksınız. Ayrıca modüllerinizin güncellendiğinden emin olun ve artık kullanmadıklarınızı kaldırın.

5. Yardım için Drupal Güvenlik Modülleri

Tıpkı katmanlı giysilerin kışın sıcak tutmak için kalın bir kazaktan daha iyi çalıştığı gibi, web siteniz de en iyi şekilde katmanlı bir yaklaşımla korunur. Drupal güvenlik modülleri, web sitenize çevresinde ekstra bir güvenlik katmanı sağlayabilir.

Otomatik güncellemeler

Bu, şu anda katkıda bulunulan bir modüldür ancak yakında Drupal 10'da çekirdeğe taşınacaktır. Otomatik güncelleme girişiminin amacı, bir Drupal web sitesini otomatik olarak güncellemenin kolay, güvenli ve güvenli bir yolunu sağlamaktır. Temel yamalar ve güvenlik sürümleriyle sitenizin otomatik olarak güncellenmesine yardımcı olur. Güncelleme işlemi sırasındaki tüm sorunlar algılanır ve raporlanır, böylece daha sonra öğrenmek zorunda kalmazsınız.

Giriş Güvenliği

Bu modül, site yöneticisinin kullanıcı girişine çeşitli kısıtlamalar eklemesine izin vererek Drupal'da güvenliği sağlar. Drupal oturum açma güvenliği modülü, hesapları engellemeden önce geçersiz oturum açma girişimlerinin sayısını sınırlayabilir. IP adresleri için erişim geçici veya kalıcı olarak reddedilebilir.

İki Faktörlü Kimlik Doğrulama

Bu Drupal güvenlik modülüyle, kullanıcınız bir kullanıcı kimliği ve parola ile oturum açtıktan sonra fazladan bir kimlik doğrulama katmanı ekleyebilirsiniz. Cep telefonlarına gönderilen bir kodu girmek gibi.

Şifre politikası

Bu, oturum açma formlarınıza başka bir güvenlik katmanı eklemenizi, böylece botları ve diğer güvenlik ihlallerini önlemenizi sağlayan harika bir Drupal güvenlik modülüdür. Uzunluk, karakter türü, harf (büyük/küçük harf), noktalama vb. üzerindeki kısıtlamalar gibi kullanıcı parolaları üzerinde belirli kısıtlamalar uygular. Ayrıca kullanıcıları parolalarını düzenli olarak değiştirmeye zorlar (parola süre sonu özelliği).

Kullanıcı Adı Numaralandırma Engelleme

Varsayılan olarak Drupal, girilen kullanıcı adının mevcut olup olmadığını (diğer kimlik bilgileri yanlışsa) size bildirir. Bir bilgisayar korsanı yalnızca gerçekten geçerli olan birini bulmak için rastgele kullanıcı adları girmeye çalışıyorsa bu harika olabilir. Bu modül, Drupal'da güvenliği sağlar ve standart hata mesajını değiştirerek bu tür saldırıları engeller.

İçerik Erişimi

Adından da anlaşılacağı gibi, bu modül içeriğinize daha ayrıntılı erişim kontrolü vermenizi sağlar. Her içerik türü, özel görüntüleme, düzenleme veya silme izinleriyle belirtilebilir. İçerik türleri için izinleri role ve yazara göre yönetebilirsiniz.

Güvenlik Kiti

Bu Drupal güvenlik modülü, birçok risk işleme özelliği sunar. Siteler arası komut dosyası çalıştırma (veya koklama), CSRF, Clickjacking, gizli dinleme saldırıları ve daha fazlası gibi güvenlik açıkları, bu Drupal 9 güvenlik modülüyle kolayca işlenebilir ve hafifletilebilir.

Captcha

İnsanlığımızı kanıtlamaktan nefret etsek de, CAPTCHA muhtemelen istenmeyen posta robotlarını filtrelemek için en iyi Drupal güvenlik modüllerinden biridir. Bu Drupal modülü, istenmeyen postalardan gelen otomatik komut dosyası gönderimlerini engeller ve bir Drupal web sitesinin herhangi bir web biçiminde kullanılabilir.

6. İzinlerinizi kontrol edin

Drupal, yöneticiler, kimliği doğrulanmış kullanıcılar, anonim kullanıcılar, editörler vb. gibi birden fazla role ve kullanıcıya sahip olmanızı sağlar. Web sitenizin güvenliğine ince ayar yapmak için, bu rollerin her birinin yalnızca belirli türde işler yapmasına izin verilmelidir. Örneğin, anonim bir kullanıcıya yalnızca içeriği görüntülemek gibi en az izinler verilmelidir. Drupal'ı yükledikten ve/veya daha fazla modül ekledikten sonra, her role manuel olarak erişim izinleri atamayı ve vermeyi unutmayın.

7. HTTPS'yi edinin

Bahse girerim, sadece bir HTTP üzerinden iletilen herhangi bir trafiğin neredeyse herkes tarafından gözetlenip kaydedilebileceğini zaten biliyordunuz. Oturum açma kimliğiniz, parolanız ve diğer oturum bilgileriniz gibi bilgiler bir saldırgan tarafından ele geçirilebilir ve kullanılabilir. Bir e-Ticaret web siteniz varsa, bu, ödeme ve kişisel ayrıntılarla ilgilendiği için daha da kritik hale gelir. Sunucunuza bir SSL sertifikası yüklemek, aktarılan verileri şifreleyerek kullanıcı ile sunucu arasındaki bağlantıyı güvence altına alacaktır. Bir HTTPS web sitesi, SEO sıralamanızı da iyileştirebilir - bu da onu tamamen yatırıma değer kılar.

Son düşünceler

Eski bir atasözü der ki - En iyisini bekle ama en kötüsünü planla. Varsayılan olarak, Drupal çok güvenli bir içerik yönetimi çerçevesidir, ancak yine de iyi bir gece uykusu için güvenlik stratejileri uygulamanız ve Drupal güvenlik en iyi uygulamalarını izlemeniz gerekecektir. Drupal 9, daha sağlam ve güvenli bir web sitesi için yepyeni bir dizi güvenlik özelliği getiriyor. Bununla birlikte, web sitenizi Drupal güvenlik güncellemeleri ile güncel tutmak vazgeçilmezdir. Temiz ve güvenli kod yazmak, web sitenizin güvenliğinde önemli bir rol oynar. Size etkili güvenlik stratejileri ve uygulama hizmetleri sağlayabilecek uzman bir Drupal geliştirme ajansı seçin.

Bu makaleyi faydalı buldunuz mu? Kopyalamanız, yerleştirmeniz veya paylaşmanız için bu makalenin gerçekten küçük bir URL'sini burada bulabilirsiniz:

bit.ly/3UPJbap

URL'yi panonuza kopyalamak için tıklayın