Drupal 站点安全
在本章中,我们将研究如何保护 Drupal 站点。本章为站点管理员指定安全配置建议,并提醒管理员如何保护站点。
有许多贡献的模块可以帮助您进行安全配置,其中
Security Review 模块会自动测试使您的网站不安全的错误。
您可以通过发送有关该问题的电子邮件,直接向 Drupal core、contrib 或 Drupal.org 报告安全问题。安全团队将在项目维护人员的帮助下帮助解决您的问题。
通过配置服务器文件系统来保护您的文件权限和所有权,因为网络服务器(例如 Apache)不应有权编辑或写入文件。它应该是只读文件,稍后执行。
安全风险级别基于 NIST 常见误用评分系统 (NISTIR 7864),以便组织可以验证如何管理问题。以下是通过分配 0 到 25 之间的数字来帮助您了解安全风险级别的要点-
0 到 4-不重要。
5 到 9-不太重要。
10 到 14-中等严重。
15 到 19-关键
20 到 25-高度关键。
在接受信用卡号等敏感信息的同时,PCI(支付卡行业)定义了许多数据安全标准。虽然这不是 Drupal 特有的,但每个 Drupal 开发人员都必须意识到这一点。要了解有关 PCI 问题的更多信息,您可以参考此链接 Drupal PCI 合规白皮书.
在 Drupal 站点中允许删除用户甚至允许用户删除自己,这有时会导致意外情况。
启用 HTTPS,这样可以更安全地将敏感信息发送到网站,例如-
信用卡
敏感 cookie,例如 PHP 会话 cookie
密码和用户名
可识别信息(社会安全号码、州身份证号码等)
机密内容
使用贡献的模块增强您的安全性。一些标准模块类别是-
安全类别
用户访问/身份验证
垃圾邮件预防模块
您可以通过安装安全权限模块来禁用用户的角色和权限。
安装登录安全模块可以提高登录操作的安全性。
站点管理员可以通过将站点设为私有并通过角色限制用户访问站点来保护站点的安全。由于此过程,搜索引擎和其他抓取工具将无法访问您的网站(以在 www 中创建数据索引)。