• 主页
  • 文章
  • SEO
  • 您需要立即实施的 7 个 Drupal 安全策略! (包括顶级 Drupal 9 安全模块)

您需要立即实施的 7 个 Drupal 安全策略! (包括顶级 Drupal 9 安全模块)

已发表: 2022-12-13

网站安全不是一次性的目标,而是需要持续关注的持续过程。 预防灾难总是比应对灾难更好。 使用 Drupal 网站,您可以确信 Drupal 安全团队将解决报告的安全问题。

Drupal 已经为数百万个网站提供支持,其中许多网站处理极其关键的数据。 不出所料,Drupal 已成为政府网站、银行和金融机构、电子商务商店等处理关键信息的网站的首选 CMS。Drupal 安全更新和功能解决了 OWASP(开放 Web 应用程序安全项目)的所有前 10 大安全风险).

但是,您最终有责任通过遵循安全最佳实践和实施不断发展的安全策略来确保您的网站安全。 阅读更多以了解如何。

安全策略

Drupal 安全漏洞

不用说,社区非常重视 Drupal 的安全性,并不断发布 Drupal 安全更新/补丁。 甚至在漏洞公开之前,Drupal 安全团队始终积极主动并准备好修补程序。 例如,Drupal 安全团队在实际利用 (Drupalgeddon2) 前几天发布了安全漏洞更新 - SA-CORE-2018-002。 补丁和 Drupal 安全更新很快发布,建议 Drupal 网站管理员更新他们的网站。

引用 Dries 在他的一篇关于安全漏洞的博客中的话—— “Drupal 安全团队遵循“协调披露政策”:在发布修复程序之前,问题一直保密。 当威胁得到解决并且 Drupal 核心的安全版本也可用时,就会发布公告。 即使提供了错误修复,Drupal 安全团队的沟通也非常周到。”


CVE Details 对 Drupal 漏洞统计的一些有趣见解:

漏洞

按类型划分的漏洞

1. 保持冷静并保持更新——Drupal 安全更新

Drupal 安全团队始终保持警惕,寻找漏洞。 补丁/Drupal 安全更新一经发现就会立即发布。 此外,在 Drupal 8 和采用持续创新之后,小版本发布更加频繁。 这使得 Drupal 可以轻松快速地更新为更好、更安全的版本。
确保您的 Drupal 版本和模块是最新的确实是确保您网站安全的最起码措施。 Drupal 的贡献者始终掌握一切,并一直在寻找可能引发灾难的任何安全威胁。 Drupal 更新不仅带有新功能,还带有安全补丁和错误修复。 Drupal 安全更新和公告会发布到用户的电子邮件中,站点管理员必须保持其版本更新以确保安全。

2. 管理你的输入

交互式网站通常收集用户的输入。 作为网站管理员,除非您适当地管理和处理这些输入,否则您的网站将面临高安全风险。 黑客可以注入可能对您的网站数据造成巨大损害的 SQL 代码。
阻止您的用户输入特定于 SQL 的词,如“SELECT”、“DROP”或“DELETE”可能会损害您网站的用户体验。 相反,借助 Drupal 中的安全性,您可以使用数据库 API 中可用的转义或过滤功能来去除和过滤掉此类有害的 SQL 注入。 清理代码是迈向安全 Drupal 网站最关键的一步。

3.Drupal 9 安全

Drupal 9 如何帮助构建更强大、更安全的网站?

  • Symfony——随着 Drupal 9 采用 Symfony 框架,它为更多的开发人员打开了大门,而不仅仅是核心 Drupal 开发人员。 Symfony 不仅是一个更安全的框架,它还引入了更多具有不同见解的开发人员来修复错误和创建安全补丁。
  • Twig 模板——正如我们刚刚讨论的关于清理代码以更好地处理输入的问题,这里要告诉您的是,使用 Drupal,它已经得到处理。 如何? 感谢 Drupal 9 采用 Twig 作为其模板引擎。 使用 Twig,你不需要任何额外的输入过滤和转义,因为它会自动清理。 此外,Twig 在逻辑和表示之间强制执行分离层,使得无法运行 SQL 查询或滥用主题层。
  • 更安全的 WYSIWYG - Drupal 中的 WYSIWYG 编辑器对用户来说是一个很好的编辑工具,但它也可能被滥用来执行 XSS 攻击等攻击。 随着 Drupal 9 遵循 Drupal 安全最佳实践,它现在允许仅使用经过过滤的 HTML 格式。 另外,为了防止用户滥用图片和防止 CSRF(跨站点请求伪造),Drupal 的核心文本过滤允许用户仅使用本地图片。
  • 配置管理计划 (CMI) – 这个 Drupal 计划非常适合站点管理员和所有者,因为它允许他们跟踪代码中的配置。 任何站点配置更改都将被跟踪和审核,从而可以对网站配置进行严格控制。

4.明智地选择你的Drupal模块

在安装模块之前,请确保查看它的活跃程度。 模块开发人员是否足够活跃? 他们是否经常发布 Drupal 安全更新? 之前是否下载过它,或者您是第一个替罪羊? 您将在模块下载页面的底部找到所有提到的详细信息。 还要确保您的模块已更新并卸载不再使用的模块。

5. Drupal 安全模块来拯救

就像分层衣服比一件厚套头衫在冬天保暖效果更好一样,您的网站最好采用分层方法来保护。 Drupal 安全模块可以为您的网站提供额外的安全保护。

自动更新

目前这是一个贡献模块,但很快将成为 Drupal 10 的核心。自动更新计划的目标是提供一种简单、安全和可靠的方式来自动更新 Drupal 网站。 它有助于使用核心补丁和安全版本自动更新您的站点。 更新过程中的任何问题都会被检测并报告,因此您以后不必再发现。

登录安全

该模块允许站点管理员对用户登录添加各种限制,从而确保 Drupal 的安全性。 Drupal 登录安全模块可以在阻止帐户之前限制无效登录尝试的次数。 可以暂时或永久拒绝 IP 地址的访问。

双因素身份验证

使用此 Drupal 安全模块,您可以在用户使用用户 ID 和密码登录后添加额外的身份验证层。 就像输入已发送到他们手机的代码一样。

密码政策

这是一个很棒的 Drupal 安全模块,可让您为登录表单添加另一层安全性,从而防止机器人程序和其他安全漏洞。 它对用户密码实施某些限制——例如对长度、字符类型、大小写(大写/小写)、标点符号等的限制。它还强制用户定期更改密码(密码过期功能)。

用户名枚举预防

默认情况下,如果输入的用户名不存在或存在(如果其他凭据错误),Drupal 会通知您。 如果黑客试图输入随机用户名只是为了找出一个真正有效的用户名,这可能会很棒。 该模块在 Drupal 中启用安全性并通过更改标准错误消息来防止此类攻击。

内容访问

顾名思义,此模块可让您对内容进行更详细的访问控制。 每种内容类型都可以指定自定义查看、编辑或删除权限。 您可以按角色和作者管理内容类型的权限。

安全套件

这个 Drupal 安全模块提供了许多风险处理功能。 使用此 Drupal 9 安全模块可以轻松处理和缓解跨站点脚本(或嗅探)、CSRF、点击劫持、窃听攻击等漏洞。

验证码

尽管我们讨厌证明我们的人性,但 CAPTCHA 可能是最好的 Drupal 安全模块之一,可以过滤不需要的垃圾邮件机器人。 此 Drupal 模块可防止垃圾邮件机器人自动提交脚本,并可用于 Drupal 网站的任何网络形式

6. 检查您的权限

Drupal 允许您拥有多个角色和用户,例如管理员、经过身份验证的用户、匿名用户、编辑等。为了微调您的网站安全性,应允许这些角色中的每一个只执行特定类型的工作。 例如,匿名用户应该被授予最少的权限,例如仅查看内容。 安装 Drupal 和/或添加更多模块后,不要忘记为每个角色手动分配和授予访问权限。

7.获取HTTPS

我打赌您已经知道,任何仅通过 HTTP 传输的流量都可能被几乎任何人窥探和记录。 攻击者可以获取和利用您的登录 ID、密码和其他会话信息等信息。 如果你有一个电子商务网站,这就变得更加重要,因为它处理付款和个人详细信息。 在您的服务器上安装 SSL 证书将通过加密传输的数据来保护用户与服务器之间的连接。 HTTPS 网站还可以提高您的 SEO 排名——这使其完全值得投资。

最后的想法

正如那句古老的格言所说——做最好的打算,做最坏的打算。 默认情况下,Drupal 是一个非常安全的内容管理框架,但您仍然需要实施安全策略并遵循 Drupal 安全最佳实践才能睡个好觉。 Drupal 9 带来了一系列全新的安全功能,以打造更强大、更安全的网站。 尽管如此,使用 Drupal 安全更新使您的网站保持最新是必不可少的。 编写干净安全的代码对您的网站安全起着重要作用。 选择可以为您提供有效安全策略和实施服务的专业 Drupal 开发机构。

觉得这篇文章有用? 这是本文的一个非常小的 URL,供您复制、嵌入或共享:

bit.ly/3UPJbap

单击以将 URL 复制到剪贴板