在本章中,我们将研究如何保护Drupal站点.本章为站点管理员指定安全配置建议,并提醒管理员如何保护站点.
有许多贡献的模块可以帮助您进行安全配置,其中安全审核
b>模块自动测试使您的网站不安全的错误.
您可以直接使用报告安全问题Drupal core,contrib 或 Drupal.org 通过发送有关该问题的电子邮件.安全团队将在项目维护人员的帮助下帮助解决您的问题.
通过配置保护您的文件权限和所有权服务器文件系统,因为Web服务器(例如Apache)不应该有编辑或写入文件的权限.它应该是只读文件,稍后会执行.
安全风险级别基于 NIST常用误用评分系统(NISTIR 7864),这样组织就可以验证如何管理问题.以下是通过指定介于0到25之间的数字来帮助您了解安全风险级别的要点;
0到4 : 不严重.
5到9 : 不太重要.
10到14 : 中度严重.
15至19 : 严重
20至25 : 非常关键.
在接受信用卡号等敏感信息时,PCI(支付卡行业)定义了许多数据安全标准.虽然这不是特定于Drupal的,但每个Drupal开发人员都必须意识到这一点.要了解有关PCI问题的更多信息,请参阅此链接 Drupal PCI合规性白皮书 .
允许删除用户,甚至允许用户在Drupal站点中删除自己,这有时会导致意外情况.
启用 HTTPS ,这样可以更安全地向网站发送敏感信息,例如 :
信用卡
敏感的Cookie,例如PHP会话Cookie
密码和用户名
可识别信息(社会安全号码,州ID号码等)
机密内容
使用contrib
安全类别
用户访问/身份验证
垃圾邮件阻止模块
您可以通过安装安全权限模块来禁用用户的角色和权限.
安全操作可以通过安装登录安全性模块来改进登录操作.
网站管理员可以通过将其设为私有网站来保护其网站安全通过将站点限制为角色对用户的有限访问权限.由于此过程,搜索引擎和其他抓取工具无法访问您的网站(在www中创建数据索引).