📅 最后修改于: 2020-10-25 10:20:11 🧑 作者: Mango
在本章中,我们将研究如何保护Drupal站点。本章为站点管理员指定安全配置建议,并警告管理员如何保护站点。
有许多有用的模块可帮助您进行安全配置,其中“安全审查”模块会自动测试使站点不安全的错误。
您可以通过发送有关该问题的电子邮件,直接通过Drupal core,contrib或Drupal.org报告安全问题。安全团队将在项目维护人员的帮助下帮助您解决问题。
通过配置服务器文件系统来保护文件的权限和所有权,因为Web服务器(例如Apache)不应具有编辑或写入文件的权限。它应该是只读文件,稍后会执行。
安全风险级别基于NIST常见滥用评分系统(NISTIR 7864) ,因此组织可以验证如何解决问题。以下是一些要点,可以通过在0到25之间分配一个数字来帮助您了解安全风险级别-
0至4-不严重。
5至9-不太重要。
10至14-中等严重。
15至19-严重
20至25-高度紧急。
在接受诸如信用卡号之类的敏感信息时,PCI(支付卡行业)定义了许多数据安全标准。尽管这不是Drupal特有的,但对于每个Drupal开发人员来说,意识到这一点很重要。要了解有关PCI问题的更多信息,可以参考此链接Drupal PCI Compliance白皮书。
允许删除用户,或者甚至允许用户在Drupal站点中删除自己,这有时可能会导致意外情况。
启用HTTPS ,这样可以更安全地将敏感信息发送到网站,例如-
信用卡
敏感Cookie,例如PHP会话Cookie
密码和用户名
可识别的信息(社会安全号码,州ID号码等)
机密内容
使用贡献的模块增强您的安全性。一些标准模块类别是-
安全类别
用户访问/认证
垃圾邮件预防模块
您可以通过安装“安全权限”模块来禁用用户的角色和权限。
通过安装登录安全性模块,可以提高登录操作中的安全性。
站点管理员可以通过将站点设为私有并通过角色将站点限制为对用户的受限访问来保护其站点。由于此过程,搜索引擎和其他搜寻器将无法访问您的网站(以在www中创建数据索引)。