Полное руководство по безопасности Drupal

1. Уязвимости Drupal
2. Drupal Security
3. 2. Используйте умные имена пользователей и пароли
4. 3. Используйте модули безопасности Drupal
5. 4. Блокировать плохих ботов
6. 5. Всегда используйте безопасные соединения
7. 6. Проверьте права доступа к файлам
8. 7. Заблокируйте доступ к важным файлам
9. 8. Безопасность базы данных
10. Резюме

Брайан Джексон

Обновлено 23 января 2018 г.

Drupal это CMS с открытым исходным кодом и / или структура, которая используется по крайней мере 2,2% всех сайтов в интернете, что делает его третьей наиболее широко используемой CMS в мире. Как и с любой основной платформой, возникают дополнительные проблемы безопасности. Ваш риск атаки выше, и постоянно обнаруживаются или используются новые уязвимости. Следуйте приведенному ниже полному руководству о том, что вы можете сделать, чтобы укрепить свою безопасность в Drupal и предотвратить попадание в себя или стать жертвой следующей атаки методом перебора.

Уязвимости Drupal

Насколько вы рискуете, когда дело доходит до Drupal? Ну, согласно CVE Подробности Как источник данных об уязвимостях в сети, на сегодняшний день зарегистрировано 290 уязвимостей (с 2002 года).

Если вы читаете наш предыдущий пост на Безопасность WordPress процентная доля уязвимости Drupal, если сравнивать долю рынка с частотой инцидентов, меньше. Так что из данных видно, что Drupal является более безопасной CMS.

Какие типы уязвимостей они? Согласно CVE Details, 46% уязвимостей Drupal являются межсайтовыми скриптами ( XSS ) Вы можете увидеть дополнительный разрыв ниже.

Вы можете оставаться в курсе инцидентов безопасности и уязвимостей на Официальные советы по безопасности Drupal стр. Вы можете увидеть проблемы с безопасностью, так как они относятся к ядру Drupal, проектам, внесенным в проект, а также к объявлениям для публичных сервисов. Вы также можете подписаться через RSS или подписаться @drupalsecurity в Твиттере.

Вот отличная инфографика, описывающая точный процесс того, как релиз безопасности Drupal доступен на Drupal.org.

Drupal Security

Drupal видит устойчивый рост как CMS, что означает, что вы всегда рискуете быть атакованным или взломанным. Вы никогда не сможете предотвратить подобные вещи в 100% случаев. Лучшее, что вы можете сделать, - это внедрить лучшие методы обеспечения безопасности, чтобы защитить себя . Следуйте приведенным ниже рекомендациям, чтобы усилить безопасность Drupal.

Вы всегда должны поддерживать свою версию Drupal в актуальном состоянии, а также все ваши модули . Разработчики исправляют их по какой-то причине, и если вы слишком отстаете, вы откроете для себя множество уязвимостей, поскольку хакеры обычно нацелены на более старые версии. Такие, как атака в октябре 2014 года, в которой миллионы сайтов Drupal пострадали , Вы всегда можете скачать последнюю версию Drupal с drupal.org , Примечание: в этих примерах мы используем Drupal 8 , который был выпущен 19 ноября 2015 года.

1. Для запуска обновлений перейдите к «Отчеты» → «Доступные обновления».
2. Затем вы можете нажать «Проверить вручную» для поиска дополнительных обновлений.

Также рекомендуется использовать только доверенные модули и темы Drupal . Получите ваши модули и темы из репозитория Drupal или от известных компаний. Это вызовет меньше проблем для вас в будущем.

Если вы устанавливаете Drupal в первый раз, вы можете увидеть предупреждение о проблемах с вашей установкой Drupal, ссылаясь на то, что ваши «Настройки доверенного хоста» не включены.

По состоянию на январь 2015 года Drupal 8 поддерживает шаблоны доверенных хостов где вы можете (и должны) указать набор регулярных выражений, которым должны соответствовать домены во входящих запросах. Пример конфигурации в settings.php будет выглядеть так:

$ settings ['rust_host_patterns '] = массив (' ^ www \ .example \ .com $ ',);

И всегда делайте резервную копию вашего сайта! Если вы поддерживаете регулярное резервное копирование, это позволяет вам легко откатиться, если вы атакованы, и восстановить вашу CMS. Мы также рекомендуем запускать резервные копии перед обновлением ядра и модулей Drupal. Некоторые управляемые хосты Drupal, такие как Пантеон предлагает резервное копирование одним щелчком и восстановление, а также среду разработки. Это отлично подходит для тестирования вещей перед началом производства. Или вы также можете проверить свои обновления локально, используя программное обеспечение, такое как XAMPP или MAMP.

Существует также очень популярный бесплатный модуль резервного копирования и переноса доступны для Drupal, которые мы рекомендуем. Особенности этого модуля:

• Резервное копирование / восстановление нескольких баз данных MySQL и кода
• Резервное копирование файлов каталога встроено в эту версию
• Добавить примечание к файлам резервных копий
• Интеллектуальные параметры удаления упрощают управление файлами резервных копий.
• Резервное копирование на FTP / S3 / Email или NodeSquirrel.com
• Drush интеграция
• Несколько графиков резервного копирования
• AES-шифрование для резервных копий

Примечание: этот модуль в настоящее время переносится на Drupal 8 , До тех пор мы рекомендуем просто экспортировать базу данных MySQL и создавать резервные копии файлов вручную.

2. Используйте умные имена пользователей и пароли

Будьте внимательны с вашими именами и паролями в Drupal. Не используйте «admin» в качестве имени пользователя и выберите сложный пароль. Вероятно, это один из лучших способов повысить безопасность Drupal, и по иронии судьбы это один из самых простых. Однако многие люди используют то, что они легко запоминают, например, «1234567», и в конечном итоге сожалеют позже, когда попадают в атаку грубой силой. Помните, что боты постоянно просматривают Интернет, и по мере роста вашего сайта они всегда будут пытаться подделать ваш логин. Смотрите это руководство на как выбрать надежный пароль ,

Приблизительно 76 процентов атак на корпоративные сети были связаны со слабыми паролями. - Appliedi

В отличие от WordPress, где вы должны изменить свое имя пользователя непосредственно в базе данных, Drupal позволяет вам обновлять имя пользователя вашего администратора с панели инструментов. Следуйте этим быстрым шагам.

1. Нажмите «Люди» → «Изменить» рядом с учетной записью администратора.

2. Затем просто измените значение в поле «Имя пользователя» и нажмите «Сохранить».

Мы также рекомендуем использовать бесплатную программу, такую ​​как KeePass или же KeePassX которые позволяют вам создавать безопасные пароли и хранить их в базе данных локально на вашем компьютере.

3. Используйте модули безопасности Drupal

Существует множество хороших модулей безопасности Drupal, которые блокируют ваш сайт и помогают защитить вас от атак методом перебора. Эти плагины позволяют блокировать вредоносные сети, ограничивать скорость или блокировать угрозы безопасности, применять надежные пароли, сканировать уязвимости, видеть, какие файлы были изменены, реализовывать брандмауэр для блокировки общих угроз безопасности, отслеживать изменения DNS и многое другое. Вот некоторые популярные модули безопасности Drupal:

• Безопасность входа : Ограничение количества попыток входа в систему и запрет доступа по IP-адресу.
• ACL : Списки контроля доступа для доступа к узлам.
• Политика паролей : Определите больше политик паролей безопасности для пользователей.
• Защитный код : Блокировать отправку форм от спам-ботов / скриптов.
• Автоматический выход : Позволяет администратору выходить из системы по истечении заданного периода времени.
• Предел сеанса Ограничение количества одновременных сеансов на пользователя.
• Доступ к контенту : Разрешения для типов контента по роли и автору.
• кодировщик : Проверяет ваш код Drupal на соответствие стандарту кодирования и лучшим практикам.
• SpamSpan фильтр : Запутывает адрес электронной почты, чтобы спам-боты не собирали их.
• Взломан! : Проверьте, не было ли изменений в ядре или темах Drupal.

Есть два дополнительных модуля безопасности, которые заслуживают немного большего внимания. Во-первых, это Модуль проверки безопасности , Мы настоятельно рекомендуем воспользоваться этим модулем, поскольку он автоматизирует тестирование многих простых ошибок, которые делают ваш сайт небезопасным. Просто установите и нажмите Run, и он проверит ваш сайт.

Вы также можете сканировать свой сайт с Sucuri's Сканер вредоносных программ и безопасности сайта а также Разоблачить паразитов , Если тест не показывает никаких угроз, это не гарантирует, что ваш сайт полностью безопасен, он просто показывает, что сайт не представляет непосредственной угрозы для посетителей.

Второй модуль безопасности, который мы рекомендуем включить, это Модуль двухфакторной аутентификации (TFA) чтобы в дальнейшем никто не мог получить доступ к вашему сайту. Примечание: этот модуль в настоящее время переносится на Drupal 8. KeyCDN также теперь имеет двухфакторная аутентификация так что вы можете защитить Drupal на вашем веб-хосте, а также на вашем провайдере CDN.

4. Блокировать плохих ботов

Всегда есть плохие боты, скребки и сканеры, которые бьют по вашим сайтам в Drupal и крадут вашу пропускную способность. Смотрите полный список ботов на botreports.com , Многие из упомянутых выше модулей безопасности могут отлично работать, чтобы блокировать плохих ботов, но иногда вам может понадобиться сделать это на уровне сервера. Если вы хотите заблокировать несколько строк User-Agent одновременно, вы можете добавить следующее в ваш файл .htaccess.

RewriteEngine On RewriteCond% {HTTP_USER_AGENT} ^. * (Agent1 | Wget | Catall Spider). * $ [NC] RewriteRule. * - [F, L]

Или вы также можете использовать директиву BrowserMatchNoCase следующим образом:

BrowserMatchNoCase "agent1" боты BrowserMatchNoCase "Wget" боты BrowserMatchNoCase "Catall Spider" боты Order Allow, Deny Allow from ALL Запретить от env = bots

А вот пример на Nginx.

if ($ http_user_agent ~ (agent1 | Wget | Catall Spider)) {return 403; }

KeyCDN также теперь имеет функцию, которую вы можете включить блокировать плохих ботов на стороне CDN, чтобы сэкономить деньги на пропускную способность.

5. Всегда используйте безопасные соединения

Независимо от того, где вы находитесь, вы всегда должны стараться обеспечить безопасность используемых соединений. Вы должны использовать шифрование SFTP, если ваш веб-хостинг предоставляет его , или SSH. Если вы используете FTP-клиент, порт по умолчанию для SFTP обычно составляет 22.

Примечание. Некоторые FTP-клиенты хранят пароли на вашем компьютере в зашифрованном виде или даже в виде обычного текста. Даже некоторые зашифрованные пароли могут быть преобразованы обратно в оригинал. Мы рекомендуем не сохранять пароли FTP на клиенте или настраивать то, что некоторые называют основной пароль ,

Также важно убедиться, что ваш правила брандмауэра правильно настроены на вашем домашнем маршрутизаторе. И помните, что когда вы работаете в общественном месте, например, в интернет-кафе или Starbucks, это ненадежные сети.

Ваш веб-хостинг, на котором находится ваш веб-сайт, также должен работать на защищенном хостинге. Это означает, что они должны работать в актуальном состоянии и поддерживать поддерживаемые версии PHP, MySQL, изоляции учетных записей, брандмауэров веб-приложений и т. Д. Будьте осторожны с дешевыми общими хостами, поскольку вы можете столкнуться с проблемами, если они переполнены серверами и совместно используют IP-адреса.

6. Проверьте права доступа к файлам

Чтобы защитить свой сайт, вы хотите убедиться и использовать правильные права доступа к файлам. Каждый каталог и файл имеют разные разрешения, которые позволяют людям читать, писать и изменять их. Если ваши разрешения слишком свободны, это может открыть дверь для злоумышленника, а если они слишком ограничены, это может нарушить вашу установку Drupal в виде модулей, и ядро ​​Drupal должно иметь возможность записи в определенные каталоги.

Drupal имеет хорошую документацию по защита прав доступа и владения файлами ,

7. Заблокируйте доступ к важным файлам

Вы можете ограничить доступ к некоторым конфиденциальным файлам, таким как файл authorize.php, файл upgrade.php, файл cron.php и файл install.php через .htaccess. Таким образом, никто кроме вас не может вводить основные файлы вашего сайта. Смотрите пример ниже.

<FilesMatch "(authorize | cron | install | upgrade) \. Php"> Порядок deny, разрешить deny from all Allow from 127.0.0.1 </ FilesMatch>

8. Безопасность базы данных

Вам не только нужно проверять права доступа к вашим файлам и блокировать доступ к важным файлам, но также есть вещи, которые вы можете сделать для усиления безопасности вашей базы данных Drupal. Первое, что мы рекомендуем, это использование другого префикса таблицы. Если вы измените это на что-то вроде x3sdf_, злоумышленнику будет намного сложнее угадать его, что поможет предотвратить SQL-инъекции.

Вы можете изменить префикс таблицы на экране настройки при установке Drupal. На шаге настройки базы данных просто нажмите «Дополнительные параметры», чтобы увидеть хост, номер порта и префикс имени таблицы.

Источник: Установите Drupal 8

Если у вас уже установлен Drupal, вы можете изменить префикс базы данных через phpMyAdmin. Вторая рекомендация - изменить имя вашей базы данных, чтобы ее было сложнее угадать. Особенно, если вы назвали свою базу данных

Он всегда возвращается к «безопасному вебу». Для сайтов электронной коммерции вам необходим сертификат SSL, потому что они обрабатывают конфиденциальные данные. Для других сайтов главной причиной этого является ваша страница входа в Drupal. Если вы не используете HTTPS-соединение, ваше имя пользователя и пароль отправляются в виде открытого текста через Интернет . Многие люди утверждают, что блоги и информационные сайты не должны работать по протоколу HTTPS, но насколько важны ваши учетные данные для входа? Кроме того, на многих сайтах есть несколько авторов, которые входят в систему из разных сетей, поэтому использование защищенного соединения может только повысить безопасность Drupal.

С SEO преимуществами HTTP и преимущества производительности HTTP / 2 нет никаких причин не использовать SSL-сертификат. И KeyCDN теперь также предлагает бесплатные SSL-сертификаты с нашей интеграцией Let's Encrypt.

Заголовки безопасности HTTP обеспечивают еще один уровень безопасности для вашего сайта Drupal, помогая смягчить атаки и уязвимости безопасности. Обычно они требуют лишь небольшого изменения конфигурации вашего веб-сервера. Эти заголовки сообщают вашему браузеру, как вести себя при работе с контентом вашего сайта. Ниже приведены шесть распространенных заголовков безопасности HTTP, которые мы рекомендуем внедрять и / или обновлять.

Обязательно ознакомьтесь с нашим подробным сообщением о Заголовки безопасности HTTP ,

Резюме

Как вы можете видеть, есть много способов укрепить безопасность Drupal. От поддержания в актуальном состоянии ядра и модулей Drupal, умения с именами пользователей и паролями, использования плагинов безопасности, безопасных соединений, приемов обеспечения безопасности баз данных, двухфакторной аутентификации, прав доступа к файлам, использования SSL-сертификата и многого другого. Многие из этих рекомендаций могут быть реализованы в течение нескольких минут, и вы можете быть спокойны, зная, что ваш сайт Drupal немного более защищен от злоумышленников и хакеров.

Есть еще какие-нибудь полезные советы по безопасности Drupal, которые, по вашему мнению, мы пропустили? Если это так, дайте нам знать ниже в комментариях!

Похожие

Комментарии