网站安全（Site Security）

在本章中，我们将研究如何保护Drupal站点。 本章为站点管理员指定安全配置建议，并警告管理员如何保护站点。

有许多贡献的模块可以帮助您进行安全配置，其中Security Review模块可以自动测试使您的站点不安全的错误。

• 您可以通过发送有关该问题的电子邮件直接向Drupal core, contrib或Drupal.org报告安全问题。 安全团队将在项目维护人员的帮助下帮助解决您的问题。

• 通过configuring服务器文件系统来保护您的文件权限和所有权，因为Web服务器（例如Apache）不应具有编辑或写入文件的权限。 它应该是read only文件，稍后会执行。

• 安全风险级别基于NIST通用滥用评分系统（NISTIR 7864） ，因此组织可以验证如何管理问题。 以下是通过分配0到25之间的数字来帮助您了解安全风险级别的要点 -

  • 0 to 4 - 不重要。

  • 5 to 9 - 不太重要。

  • 10 to 14 - 中度严重。

  • 15 to 19 - 严重

  • 20 to 25 - 非常关键。

• 在接受信用卡号等敏感信息时，PCI（支付卡行业）定义了许多Data Security Standards 。 虽然这不是Drupal特有的，但每个Drupal开发人员都必须意识到这一点。 要了解有关PCI问题的更多信息，可以参考此链接Drupal PCI Compliance白皮书 。

• 允许删除用户，甚至允许用户在Drupal站点中删除自己，这有时会导致意外情况。

• 启用HTTPS ，将敏感信息发送到网站更安全，例如 -

  • 信用卡

  • 敏感的cookie，如PHP会话cookie

  • 密码和用户名

  • 可识别信息（社会安全号码，州ID号码等）

  • 机密内容

• 使用提供的modules增强安全性。 一些标准模块类别是 -

• 安全类别

• 用户访问/身份验证

• 垃圾邮件预防模块

• 您可以通过安装Secure Permission模块来禁用用户的角色和权限。

• 通过安装Login Security模块，可以在登录操作中改进安全操作。

• 站点管理员可以通过将其设置为私有来保护其站点，并通过将该站点限制为该角色对用户的有限访问。 由于此过程，您的网站将无法访问搜索引擎和其他抓取工具（以在www中创建数据索引）。