在本章中,我们将研究如何保护Drupal站点。本章为站点管理员指定安全配置建议,并警告管理员如何保护站点。
有许多贡献的模块可以帮助您进行安全配置,其中Security Review模块可以自动测试使您的站点不安全的错误。
-
您可以通过发送有关该问题的电子邮件直接向Drupal核心,contrib或Drupal.org报告安全问题。安全团队将在项目维护人员的帮助下帮助解决您的问题。
-
通过配置服务器文件系统来保护您的文件权限和所有权,因为Web服务器(例如Apache)不应具有编辑或写入文件的权限。它应该是只读文件,稍后会执行。
-
安全风险级别基于NIST通用滥用评分系统(NISTIR 7864),因此组织可以验证如何管理问题。以下是通过指定0到25之间的数字来帮助您了解安全风险级别的要点 -
-
0到4 - 不重要。
-
5至9 - 不太重要。
-
10至14 - 中度严重。
-
15至19 - 严重
-
20至25 - 非常关键。
-
-
在接受信用卡号等敏感信息时,PCI(支付卡行业)定义了许多数据安全标准。虽然这不是特定于Drupal的,但每个Drupal开发人员都必须意识到这一点。要了解有关PCI问题的更多信息,可以参考此链接Drupal PCI Compliance白皮书。
-
允许删除用户,甚至允许用户在Drupal站点中删除自己,这有时会导致意外情况。
-
启用HTTPS,将敏感信息发送到网站更安全,例如 -
-
信用卡
-
敏感的cookie,如PHP会话cookie
-
密码和用户名
-
可识别信息(社会安全号码,州ID号码等)
-
机密内容
-
-
使用提供的模块增强安全性。一些标准模块类别是 -
-
安全类别
-
用户访问/身份验证
-
垃圾邮件预防模块
-
-
您可以通过安装安全权限模块来禁用用户的角色和权限。
-
通过安装Login Security模块,可以在登录操作中改进安全操作。
-
站点管理员可以通过将其设置为私有来保护其站点,并通过将该站点限制为该角色对用户的有限访问权限。由于此过程,您的网站将无法访问搜索引擎和其他抓取工具(在www中创建数据索引)。
评论