当前位置: 首页 > 文档资料 > Drupal 入门教程 >

网站安全(Site Security)

优质
小牛编辑
128浏览
2023-12-01

在本章中,我们将研究如何保护Drupal站点。 本章为站点管理员指定安全配置建议,并警告管理员如何保护站点。

有许多贡献的模块可以帮助您进行安全配置,其中Security Review模块可以自动测试使您的站点不安全的错误。

  • 您可以通过发送有关该问题的电子邮件直接向Drupal core, contribDrupal.org报告安全问题。 安全团队将在项目维护人员的帮助下帮助解决您的问题。

  • 通过configuring服务器文件系统来保护您的文件权限和所有权,因为Web服务器(例如Apache)不应具有编辑或写入文件的权限。 它应该是read only文件,稍后会执行。

  • 安全风险级别基于NIST通用滥用评分系统(NISTIR 7864) ,因此组织可以验证如何管理问题。 以下是通过分配0到25之间的数字来帮助您了解安全风险级别的要点 -

    • 0 to 4 - 不重要。

    • 5 to 9 - 不太重要。

    • 10 to 14 - 中度严重。

    • 15 to 19 - 严重

    • 20 to 25 - 非常关键。

  • 在接受信用卡号等敏感信息时,PCI(支付卡行业)定义了许多Data Security Standards 。 虽然这不是Drupal特有的,但每个Drupal开发人员都必须意识到这一点。 要了解有关PCI问题的更多信息,可以参考此链接Drupal PCI Compliance白皮书

  • 允许删除用户,甚至允许用户在Drupal站点中删除自己,这有时会导致意外情况。

  • 启用HTTPS ,将敏感信息发送到网站更安全,例如 -

    • 信用卡

    • 敏感的cookie,如PHP会话cookie

    • 密码和用户名

    • 可识别信息(社会安全号码,州ID号码等)

    • 机密内容

  • 使用提供的modules增强安全性。 一些标准模块类别是 -

    • 安全类别

    • 用户访问/身份验证

    • 垃圾邮件预防模块

  • 您可以通过安装Secure Permission模块来禁用用户的角色和权限。

  • 通过安装Login Security模块,可以在登录操作中改进安全操作。

  • 站点管理员可以通过将其设置为私有来保护其站点,并通过将该站点限制为该角色对用户的有限访问。 由于此过程,您的网站将无法访问搜索引擎和其他抓取工具(以在www中创建数据索引)。