Drupal nasveti za varnost

Written by: Ana
Published on: 5.10.2018
ključavnica

Drupal je vodilni spletni sistem za upravljanje spletnih vsebin. S to popularnostjo seveda pride do povečanega tveganja za varnost. Medtem, ko je Drupal sam po sebi zelo varen, obstajajo dodatni načini, ki jih je treba vsekakor izvajati, da bi zagotovili, da Drupal spletna stran ostane varna pred napadi, kolikor je le mogoče.

 

Minimalne administrativne pravice

V Drupalu imajo uporabniki z administrativnimi pravicami dostop do vsakega dela spletnega mesta. To seveda pomeni, da lahko administrativni privilegiji v napačnih rokah pomenijo konec vaši Drupal spletni strani. Ko je ustvarjeno novo spletno mesto Drupal, je ustvarjen tudi uporabnik številka 1. To je najvišja raven privilegijev, ki jo ima Drupalova stran. Vedno je priporočljivo, da ustvarite skrbniški račun in dodatno zaščitite ta uporabniški račun številka 1, preden spletno mesto objavite. Prav tako zagotovite, da na spletnem mestu nimate prevelikega števila skrbniških računov.

 

Namestite zaupanja vredne in podprte module

Moduli so tisto, kar predstavlja Drupalovo resnično moč in ga naredi tako prilagodljivega, saj jih je ogromno. Vendar niso vsi moduli ustvarjeni na enak način; prav tako se jih lahko uporabi tudi za vdor v spletno mesto, ker v osnovi moduli v bistvu dodajajo ali spremenijo kodo vaše spletne strani. Torej, če želite, da je spletno mesto varno pred zlonamernimi napadi, poskrbite, da, kadar je to le mogoče, namestite zaupanja vredne in priljubljene module. Če potrebujete funkcionalnost modula, ki še ni zelo dobro znan, se prepričajte, da boste izvedli ustrezno raziskavo in pregled kode, preden nadaljujete z namestitvijo na vašo spletno stran.

 

Ohranjajte Drupalovo jedro in module posodabljane

Te točke ni mogoče dovolj poudariti! Da, včasih je treba zakrpati ali posodobiti vašo spletno stran, vendar to ni toliko težavno, kot je težavno obnoviti vašo spletno stran, če je napadena. Obvezno je stalno posodabljanje spletne strani in modulov, nameščenih na njej, saj te posodobitve pogosto vključujejo tudi varnostne popravke. Obstaja razlog, zakaj Drupalova varnostna ekipa izdaja pogoste posodobitve.

Eden od primerov za posodabljanje vašega spletnega mesta Drupal bi bil lahko izdan zaradi Drupalgeddona. To ime je bilo podano kritični varnostni ranljivosti, za katero je bilo ugotovljeno, da vpliva na veliko število Drupal spletnih mest. Drupalova varnostna ekipa je takoj ob odkritju izdala varnostne popravke za določitev te ranljivosti in močno svetovala vsakomur z Drupal spletno stranjo, da jih takoj posodobijo. 

 

Izberite dobrega gostitelja

Ena točka, ki je pogosto spregledana, ko gre za upoštevanje varnosti mesta, je ponudnik gostovanja, ki ga izberete za gostovanje vaše spletne strani. Medtem ko sta hitrost in zanesljivost nedvomno pomembna dejavnika pri izbiri ponudnika gostovanja, morate tudi videti, kakšne varnostne ukrepe zagotavljajo. Izbira ponudnika gostovanja, ki ima veljavne varnostne ukrepe, že določa trdno podlago za varnost vašega spletnega mesta.

 

Varnostni moduli

Moduli ustvarijo Drupal spletno mesto. Torej ni nobeno presenečenje, da so v družbi Drupal na voljo moduli, ki se osredotočajo predvsem na to, da so spletna mesta varna. Na voljo je veliko modulov, ki ponujajo različne metode za varnejšo spletno stran, nekateri od njih so:

 

Drugi ukrepi

Poleg zgoraj naštetih nasvetov obstajajo še druge prakse, ki jih je treba redno izvajati, da bi vaša Drupalova stran ostala neprebojna:

  • redno preverjajte vgrajena poročila o družbi Drupal, da si ogledate pregled stanja svojega spletnega mesta,
  • vedno preverjajte prijavljanja v spletno mesto, da ugotovite ali je bila na vašem spletnem mestu izvedena sumljiva dejavnost, ne da bi vedeli,
  • vedno se prepričajte, da uporabljate močna gesla in jih redno spreminjajte,
  • uporabite dvofaktorno preverjanje pristnosti,
  • odstranite neaktivne uporabnike,
  • odstranite module, ki vam ne koristijo,
  • prepričajte se, da uporabljate samo zaupanja vredne teme,
  • omejite dostop do pomembnih ključnih datotek Drupala prek .htaccess konfiguracijske datoteke,
  • omogočite SSL na vašem spletnem mestu (uporabite HTTPS za vašo spletno stran!),
  • naredite redne varnostne kopije vašega spletnega mesta.

 

Zaključek

Vedno upoštevajte te nasvete in bodite korak pred potencialnimi napadalci. Pri Agiledropu se zavedamo pomena varnosti spletnih strani, zato take tudi ustvarjamo. Če bi jih rad ustvarjal z nami, si poglej prosta delovna mesta.