• 主頁
  • 文章
  • SEO
  • 您需要立即實施的 7 個 Drupal 安全策略! (包括頂級 Drupal 9 安全模塊)

您需要立即實施的 7 個 Drupal 安全策略! (包括頂級 Drupal 9 安全模塊)

已發表: 2022-12-13

網站安全不是一次性的目標,而是需要持續關注的持續過程。 預防災難總是比應對災難更好。 使用 Drupal 網站,您可以確信 Drupal 安全團隊將解決報告的安全問題。

Drupal 已經為數百萬個網站提供支持,其中許多網站處理極其關鍵的數據。 不出所料,Drupal 已成為政府網站、銀行和金融機構、電子商務商店等處理關鍵信息的網站的首選 CMS。Drupal 安全更新和功能解決了 OWASP(開放 Web 應用程序安全項目)的所有前 10 大安全風險).

但是,您最終有責任通過遵循安全最佳實踐和實施不斷發展的安全策略來確保您的網站安全。 閱讀更多以了解如何。

安全策略

Drupal 安全漏洞

不用說,社區非常重視 Drupal 的安全性,並不斷發布 Drupal 安全更新/補丁。 甚至在漏洞公開之前,Drupal 安全團隊始終積極主動並準備好修補程序。 例如,Drupal 安全團隊在實際利用 (Drupalgeddon2) 前幾天發布了安全漏洞更新 - SA-CORE-2018-002。 補丁和 Drupal 安全更新很快發布,建議 Drupal 網站管理員更新他們的網站。

引用 Dries 在他的一篇關於安全漏洞的博客中的話—— “Drupal 安全團隊遵循“協調披露政策”:在發布修復程序之前,問題一直保密。 當威脅得到解決並且 Drupal 核心的安全版本也可用時,就會發佈公告。 即使提供了錯誤修復,Drupal 安全團隊的溝通也非常周到。”


CVE Details 對 Drupal 漏洞統計的一些有趣見解:

漏洞

按類型劃分的漏洞

1. 保持冷靜並保持更新——Drupal 安全更新

Drupal 安全團隊始終保持警惕,尋找漏洞。 補丁/Drupal 安全更新一經發現就會立即發布。 此外,在 Drupal 8 和採用持續創新之後,小版本發布更加頻繁。 這使得 Drupal 可以輕鬆快速地更新為更好、更安全的版本。
確保您的 Drupal 版本和模塊是最新的確實是確保您網站安全的最起碼措施。 Drupal 的貢獻者始終掌握一切,並一直在尋找可能引發災難的任何安全威脅。 Drupal 更新不僅帶有新功能,還帶有安全補丁和錯誤修復。 Drupal 安全更新和公告會發佈到用戶的電子郵件中,站點管理員必須保持其版本更新以確保安全。

2. 管理你的輸入

交互式網站通常收集用戶的輸入。 作為網站管理員,除非您適當地管理和處理這些輸入,否則您的網站將面臨高安全風險。 黑客可以注入可能對您的網站數據造成巨大損害的 SQL 代碼。
阻止您的用戶輸入特定於 SQL 的詞,如“SELECT”、“DROP”或“DELETE”可能會損害您網站的用戶體驗。 相反,借助 Drupal 中的安全性,您可以使用數據庫 API 中可用的轉義或過濾功能來去除和過濾掉此類有害的 SQL 注入。 清理代碼是邁向安全 Drupal 網站最關鍵的一步。

3.Drupal 9 安全

Drupal 9 如何幫助構建更強大、更安全的網站?

  • Symfony——隨著 Drupal 9 採用 Symfony 框架,它為更多的開發人員打開了大門,而不僅僅是核心 Drupal 開發人員。 Symfony 不僅是一個更安全的框架,它還引入了更多具有不同見解的開發人員來修復錯誤和創建安全補丁。
  • Twig 模板——正如我們剛剛討論的關於清理代碼以更好地處理輸入的問題,這裡要告訴您的是,使用 Drupal,它已經得到處理。 如何? 感謝 Drupal 9 採用 Twig 作為其模板引擎。 使用 Twig,你不需要任何額外的輸入過濾和轉義,因為它會自動清理。 此外,Twig 在邏輯和表示之間強制執行分離層,使得無法運行 SQL 查詢或濫用主題層。
  • 更安全的 WYSIWYG - Drupal 中的 WYSIWYG 編輯器對用戶來說是一個很好的編輯工具,但它也可能被濫用來執行 XSS 攻擊等攻擊。 隨著 Drupal 9 遵循 Drupal 安全最佳實踐,它現在允許僅使用經過過濾的 HTML 格式。 另外,為了防止用戶濫用圖片和防止 CSRF(跨站點請求偽造),Drupal 的核心文本過濾允許用戶僅使用本地圖片。
  • 配置管理計劃 (CMI) – 這個 Drupal 計劃非常適合站點管理員和所有者,因為它允許他們跟踪代碼中的配置。 任何站點配置更改都將被跟踪和審核,從而可以對網站配置進行嚴格控制。

4.明智地選擇你的Drupal模塊

在安裝模塊之前,請確保查看它的活躍程度。 模塊開發人員是否足夠活躍? 他們是否經常發布 Drupal 安全更新? 之前是否下載過它,或者您是第一個替罪羊? 您將在模塊下載頁面的底部找到所有提到的詳細信息。 還要確保您的模塊已更新並卸載不再使用的模塊。

5. Drupal 安全模塊來拯救

就像分層衣服比一件厚套頭衫在冬天保暖效果更好一樣,您的網站最好採用分層方法來保護。 Drupal 安全模塊可以為您的網站提供額外的安全保護。

自動更新

目前這是一個貢獻模塊,但很快將成為 Drupal 10 的核心。自動更新計劃的目標是提供一種簡單、安全和可靠的方式來自動更新 Drupal 網站。 它有助於使用核心補丁和安全版本自動更新您的站點。 更新過程中的任何問題都會被檢測並報告,因此您以後不必再發現。

登錄安全

該模塊允許站點管理員對用戶登錄添加各種限制,從而確保 Drupal 的安全性。 Drupal 登錄安全模塊可以在阻止帳戶之前限制無效登錄嘗試的次數。 可以暫時或永久拒絕 IP 地址的訪問。

雙因素身份驗證

使用此 Drupal 安全模塊,您可以在用戶使用用戶 ID 和密碼登錄後添加額外的身份驗證層。 就像輸入已發送到他們手機的代碼一樣。

密碼政策

這是一個很棒的 Drupal 安全模塊,可讓您為登錄表單添加另一層安全性,從而防止機器人程序和其他安全漏洞。 它對用戶密碼實施某些限制——例如對長度、字符類型、大小寫(大寫/小寫)、標點符號等的限制。它還強制用戶定期更改密碼(密碼過期功能)。

用戶名枚舉預防

默認情況下,如果輸入的用戶名不存在或存在(如果其他憑據錯誤),Drupal 會通知您。 如果黑客試圖輸入隨機用戶名只是為了找出一個真正有效的用戶名,這可能會很棒。 該模塊在 Drupal 中啟用安全性並通過更改標準錯誤消息來防止此類攻擊。

內容訪問

顧名思義,此模塊可讓您對內容進行更詳細的訪問控制。 每種內容類型都可以指定自定義查看、編輯或刪除權限。 您可以按角色和作者管理內容類型的權限。

安全套件

這個 Drupal 安全模塊提供了許多風險處理功能。 使用此 Drupal 9 安全模塊可以輕鬆處理和緩解跨站點腳本(或嗅探)、CSRF、點擊劫持、竊聽攻擊等漏洞。

驗證碼

儘管我們討厭證明我們的人性,但 CAPTCHA 可能是最好的 Drupal 安全模塊之一,可以過濾不需要的垃圾郵件機器人。 此 Drupal 模塊可防止垃圾郵件機器人自動提交腳本,並可用於 Drupal 網站的任何網絡形式

6. 檢查您的權限

Drupal 允許您擁有多個角色和用戶,例如管理員、經過身份驗證的用戶、匿名用戶、編輯等。為了微調您的網站安全性,應允許這些角色中的每一個只執行特定類型的工作。 例如,匿名用戶應該被授予最少的權限,例如僅查看內容。 安裝 Drupal 和/或添加更多模塊後,不要忘記為每個角色手動分配和授予訪問權限。

7.獲取HTTPS

我打賭您已經知道,任何僅通過 HTTP 傳輸的流量都可能被幾乎任何人窺探和記錄。 攻擊者可以獲取和利用您的登錄 ID、密碼和其他會話信息等信息。 如果你有一個電子商務網站,這就變得更加重要,因為它處理付款和個人詳細信息。 在您的服務器上安裝 SSL 證書將通過加密傳輸的數據來保護用戶和服務器之間的連接。 HTTPS 網站還可以提高您的 SEO 排名——這使其完全值得投資。

最後的想法

正如那句古老的格言所說——做最好的打算,做最壞的打算。 默認情況下,Drupal 是一個非常安全的內容管理框架,但您仍然需要實施安全策略並遵循 Drupal 安全最佳實踐才能睡個好覺。 Drupal 9 帶來了一系列全新的安全功能,以打造更強大、更安全的網站。 儘管如此,使用 Drupal 安全更新使您的網站保持最新是必不可少的。 編寫乾淨安全的代碼對您的網站安全起著重要作用。 選擇可以為您提供有效安全策略和實施服務的專業 Drupal 開發機構。

覺得這篇文章有用? 這是本文的一個非常小的 URL,供您複製、嵌入或共享:

bit.ly/3UPJbap

單擊以將 URL 複製到剪貼板