Drupal - Sicurezza del sito

In questo capitolo studieremo come proteggere il sito Drupal. Questo capitolo specifica i suggerimenti per la configurazione della sicurezza per gli amministratori del sito e avvisa l'amministratore su come proteggere il sito.

Ci sono molti moduli forniti che ti aiutano con la configurazione della sicurezza in cui Security Review Il modulo automatizza il test degli errori che rendono insicuro il tuo sito.

  • Puoi segnalare un problema di sicurezza direttamente con Drupal core, contrib o Drupal.orginviando una e-mail in merito al problema. Il team di sicurezza ti aiuterà a risolvere il tuo problema con l'aiuto del manutentore del progetto.

  • Proteggi le autorizzazioni e la proprietà dei tuoi file da configuringil file system del server, poiché il server web (ad esempio Apache) non dovrebbe avere accesso per modificare o scrivere i file. Dovrebbe essere file di sola lettura , che viene eseguito in seguito.

  • I livelli di rischio per la sicurezza sono basati sul Common Misuse Scoring System (NISTIR 7864) del NIST , in modo che l'organizzazione possa verificare come gestire il problema. Di seguito sono riportati i punti che ti aiuteranno a comprendere il livello di rischio per la sicurezza assegnando il numero compreso tra 0 e 25 -

    • 0 to 4 - Non critico.

    • 5 to 9 - Meno critico.

    • 10 to 14 - Moderatamente critico.

    • 15 to 19 - Critico

    • 20 to 25 - Altamente critico.

  • Pur accettando le informazioni sensibili come il numero di carta di credito, il PCI (Payment Card Industry) definisce una serie di standard di sicurezza dei dati . Sebbene questo non sia specifico di Drupal, è importante che ogni sviluppatore Drupal ne sia consapevole. Per saperne di più sui problemi PCI, puoi fare riferimento a questo link Drupal PCI Compliance White Paper .

  • Gli utenti possono essere eliminati o anche agli utenti di eliminare se stessi nel sito Drupal, il che a volte può portare a una situazione imprevista.

  • Abilitare HTTPS, che è più sicuro per inviare informazioni sensibili a un sito Web come -

    • Carte di credito

    • Cookie sensibili come i cookie di sessione PHP

    • Password e nomi utente

    • Informazioni identificabili (numero di previdenza sociale, numeri di identificazione statale, ecc.)

    • Contenuto riservato

  • Migliora la tua sicurezza utilizzando contribuiti modules. Alcune categorie di moduli standard sono:

    • Categoria di sicurezza

    • Accesso / autenticazione dell'utente

    • Moduli di prevenzione dello spam

  • È possibile disabilitare i ruoli e le autorizzazioni dell'utente installando il file Secure Permission modulo.

  • L'operazione di sicurezza può essere migliorata nell'operazione di accesso installando il file Login Security modulo.

  • L'amministratore del sito può proteggere il proprio sito rendendolo privato e limitando l'accesso del sito agli utenti in base al ruolo. A causa di questo processo, il tuo sito non sarà raggiungibile dai motori di ricerca e da altri crawler (per creare un indice di dati in www).