网站安全(Site Security)
在本章中,我们将研究如何保护Drupal站点。 本章为站点管理员指定安全配置建议,并警告管理员如何保护站点。
有许多贡献的模块可以帮助您进行安全配置,其中Security Review模块可以自动测试使您的站点不安全的错误。
您可以通过发送有关该问题的电子邮件直接向Drupal core, contrib或Drupal.org报告安全问题。 安全团队将在项目维护人员的帮助下帮助解决您的问题。
通过configuring服务器文件系统来保护您的文件权限和所有权,因为Web服务器(例如Apache)不应具有编辑或写入文件的权限。 它应该是read only文件,稍后会执行。
安全风险级别基于NIST通用滥用评分系统(NISTIR 7864) ,因此组织可以验证如何管理问题。 以下是通过分配0到25之间的数字来帮助您了解安全风险级别的要点 -
0 to 4 - 不重要。
5 to 9 - 不太重要。
10 to 14 - 中度严重。
15 to 19 - 严重
20 to 25 - 非常关键。
在接受信用卡号等敏感信息时,PCI(支付卡行业)定义了许多Data Security Standards 。 虽然这不是Drupal特有的,但每个Drupal开发人员都必须意识到这一点。 要了解有关PCI问题的更多信息,可以参考此链接Drupal PCI Compliance白皮书 。
允许删除用户,甚至允许用户在Drupal站点中删除自己,这有时会导致意外情况。
启用HTTPS ,将敏感信息发送到网站更安全,例如 -
信用卡
敏感的cookie,如PHP会话cookie
密码和用户名
可识别信息(社会安全号码,州ID号码等)
机密内容
使用提供的modules增强安全性。 一些标准模块类别是 -
安全类别
用户访问/身份验证
垃圾邮件预防模块
您可以通过安装Secure Permission模块来禁用用户的角色和权限。
通过安装Login Security模块,可以在登录操作中改进安全操作。
站点管理员可以通过将其设置为私有来保护其站点,并通过将该站点限制为该角色对用户的有限访问。 由于此过程,您的网站将无法访问搜索引擎和其他抓取工具(以在www中创建数据索引)。