Drupal - 站点安全

在本章中，我们将研究如何保护 Drupal 站点。本章为站点管理员指定了安全配置建议，并提醒管理员如何保护站点。

有许多贡献模块可以帮助您进行安全配置，其中安全审查模块会自动测试导致站点不安全的错误。

• 您可以通过发送有关该问题的电子邮件直接向Drupal core、contrib或Drupal.org报告安全问题。安全团队将在项目维护者的帮助下帮助您解决问题。

• 通过配置服务器文件系统来保护您的文件权限和所有权，因为 Web 服务器(例如 Apache)不应具有编辑或写入文件的权限。它应该是只读文件，稍后执行。

• 安全风险级别基于NIST 常见误用评分系统 (NISTIR 7864)，以便组织可以验证如何管理问题。以下几点将帮助您通过分配 0 到 25 之间的数字来了解安全风险级别 −

  • 0 到 4 − 不严重。

  • 5 到 9 − 不太严重。

  • 10 到 14 −中等严重。

  • 15 到 19 − 严重

  • 20 到 25 − 高度严重。

• 在接受信用卡号等敏感信息时，PCI(支付卡行业)定义了许多数据安全标准。虽然这不是 Drupal 特有的，但每个 Drupal 开发人员都必须意识到这一点。要了解有关 PCI 问题的更多信息，您可以参考此链接Drupal PCI 合规性白皮书。

• 允许在 Drupal 站点中删除用户，甚至允许用户删除自己，这有时会导致意外情况。

• 启用 HTTPS，它更安全地将敏感信息发送到网站，例如−

  • 信用卡

  • 敏感 cookie，例如 PHP 会话 cookie

  • 密码和用户名

  • 可识别信息(社会安全号码、州身份证号码、等)

  • 机密内容

• 使用贡献的模块增强您的安全性。一些标准模块类别是−

• 安全类别

• 用户访问/身份验证

• 垃圾邮件预防模块

• 您可以通过安装安全权限模块来禁用用户的角色和权限。

• 通过安装登录安全模块，可以提高登录操作中的安全性。

• 站点管理员可以通过将其设为私有并根据角色限制用户的站点访问权限来保护其站点。由于此过程，搜索引擎和其他爬虫程序将无法访问您的网站(以在 www 中创建数据索引)。