Drupal - Segurança do Site

Neste capítulo, estudaremos como proteger o site Drupal. Este capítulo especifica sugestões de configuração de segurança para administradores de site e alerta o administrador sobre como proteger o site.

Existem muitos módulos contribuídos que o ajudam com a configuração de segurança em que Security Review módulo automatiza o teste de erros que tornam o seu site inseguro.

  • Você pode relatar um problema de segurança diretamente com Drupal core, contrib ou Drupal.orgenviando um e-mail a respeito do assunto. A equipe de segurança ajudará a resolver seu problema com a ajuda do mantenedor do projeto.

  • Proteja suas permissões de arquivo e propriedade por configuringo sistema de arquivos do servidor, já que o servidor web (por exemplo, Apache) não deve ter acesso para editar ou gravar os arquivos. Devem ser arquivos somente leitura , que são executados posteriormente.

  • Os níveis de risco de segurança são baseados no NIST Common Misuse Scoring System (NISTIR 7864) , para que a organização possa verificar como gerenciar o problema. Abaixo estão os pontos que irão ajudá-lo a entender o nível de risco de segurança, atribuindo o número entre 0 e 25 -

    • 0 to 4 - Não é crítico.

    • 5 to 9 - Menos crítico.

    • 10 to 14 - Moderadamente crítico.

    • 15 to 19 - Crítico

    • 20 to 25 - Altamente crítico.

  • Ao aceitar informações confidenciais, como número de cartão de crédito, o PCI (Payment Card Industry) define uma série de Padrões de Segurança de Dados . Embora isso não seja específico do Drupal, é importante que cada desenvolvedor do Drupal esteja ciente disso. Para saber mais sobre os problemas de PCI, você pode consultar este link Drupal PCI Compliance White Paper .

  • Os usuários podem ser excluídos ou mesmo que os usuários se excluam no site Drupal, o que às vezes pode levar a uma situação inesperada.

  • Habilitar HTTPS, que é mais seguro para enviar informações confidenciais para um site como -

    • Cartões de crédito

    • Cookies sensíveis, como cookies de sessão PHP

    • Senhas e nomes de usuário

    • Informações identificáveis ​​(número do Seguro Social, números de identificação do estado, etc)

    • Conteúdo confidencial

  • Aumente a sua segurança usando modules. Algumas categorias de módulo padrão são -

    • Categoria de segurança

    • Acesso / autenticação do usuário

    • Módulos de prevenção de spam

  • Você pode desativar as funções e permissões do usuário instalando o Secure Permission módulo.

  • A operação de segurança pode ser melhorada na operação de login instalando o Login Security módulo.

  • O administrador do site pode proteger seu site tornando-o privado e restringindo o site a acesso limitado para os usuários pela função. Devido a este processo, o seu site não será acessível a motores de busca e outros crawlers (para criar um índice de dados em www).