Статьи о создании и продвижении сайтов, заработке в сети и софте

Друпал и безопасность. О чем следует знать и как защитить сайт от взлома?

Друпал и безопасность. О чем следует знать и как защитить сайт от взлома?

В этой статье я хочу рассказать о CMS Drupal 7 с точки зрения безопасности сайта.

Это очень важный вопрос, однако, многие веб-мастера не уделяют нужного внимания на вопросы безопасности своего сайта.

Между тем, в интернете все как в жизни, много порядочных и честных людей, но так же есть свои подлецы и злодеи. Вот эти злодеи и стараются заполучить доступ к сайту, чтобы использовать этот доступ в своих преступных целях.

Вот здесь я решил разместить один очень информативный и наглядный слайд, посвященный вопросам безопасности:

Слайд взят отсюда http://www.slideshare.net/eugef/security-of-drupal-sites

Как видите, Друпал сайт неплохо защищен от взлома, для того, чтобы избежать проблем, нам следует лишь правильно настроить его.

Еще раз напоминаю, вы должны выбрать сложные пароли, должны использовать различные модули капчы для блокирования подборов ботом логина и пароля.

Так же следует обратить пристальное внимание на форматы текста, ненадежным ролям и анонимным пользователям не позволять воспользоваться фильтрами «Полный HTML» и «PHP filter», а так же и с другими фильтрами, которых вы вручную создали, скажем, для модераторов.

Плагин CKEditor на данный момент максимально защищает поля ввода текста, если вы введете различные js коды, любые сложные и не валидные коды, скажем «ноиндекс», плагин их всех вырежет, вычистит, не позволяет запуститься. Это может вызвать некоторые трудности при добавлении на текст статьи и блока различных рекламных кодов, скажем от рекламной сети Яндекса или Google AdWord и других.

В таких случаях вы в настройках CKEditor можете добавить специальный код, который не дает вычищать такие коды, но это следует разрешить только тому формату текста, которому есть доступ только у администратора. Иначе есть риск взлома сайта. А о том, какой код ввести в настройках CKEditor, чтобы редактор перестал вырезать введенные вами рекламные и прочие коды в статьях и блоках, я писал тут ближе к концу статьи.

В Друпал.орге есть такой модуль, который проверяет сайт на предмет уязвимостей, и если в настройках сайта найдутся уязвимости, этот модуль сообщит вам, что это за уязвимость и как это исправить.

Модуль называется Security Review (Обзор безопасности) и скачать его можно здесь: https://www.drupal.org/project/security_review

Настоятельно рекомендую использовать этот модуль. Он работает следующим образом.

После того, как установили и включили модуль, откройте «Отчеты»-«Security Review»-«Настройки» и ставьте галочки напротив всех ролей, кроме администратора, остальных настроек трогать нет необходимости:

Друпал и безопасность. О чем следует знать и как защитить сайт от взлома?

После этого откройте вкладку «Run&Rewiev» и нажмите на кнопку «Run Checklist» и после проверки перед вами появится таблица с коротким описанием найденных уязвимостей:

Друпал и безопасность. О чем следует знать и как защитить сайт от взлома?

Нажав на ссылку «Подробности» вы можете почитать больше об этой уязвимости и о том, как ее исправить. Правда, модуль не переведен, все на английском, если вы не понимаете этот язык, просто воспользуйтесь онлайн переводчиком.

Это был важный модуль для проверки вашего сайта на предмет наличия различных уязвимостей.

Еще одна нелишняя предосторожность, это с некоторой периодичностью, скажем, раз в неделю с помощью модуля для создания резервных копий сайта создать резервную копию базы данных и скачать эту копию в ваш компьютер.

Резервная копия самого хостинга это одно дело, хостинги они могут и в одно время на всегда перестать работать, а если у вас на руках база данных вашего сайта, многое можно восстановить. О том, как прямо через амин панель Друпала создать бекап сайта, я писал тут.

На слайде есть информация еще о двух других модулях, Coder и Secure code review,  их тоже можете установить и проверить качество кода и основные уязвимости. Лишним точно не будет.

В общем, CMS Drupal 7 является одним из самых безопасных систем управления контентом, поэтому даже сайт Белого Дома США работает на Друпале (http://www.whitehouse.gov)

Риск взлома сайта выше всего в таких случаях:

- легкие, короткие, простые пароли от панели управления сайтом и хостингом;

- наличие в компьютере троянов-кейлогеров и других зловредов;

- неправильная настройка Друпал сайта (о чем говорили выше);

- не своевременное обновление ядра и модулей Друпала;

- установление редко используемых, бета, дев модулей, и модулей с других сайтов, не с Друпал.орга.

Во всех остальных случаях Друпал очень хорошо защищен, так что можете смело выбрать его для создания своего сайта любой сложности.

Надеюсь, эта информация будет вам полезна и поможет надежно защитить ваш Друпал сайт. А если возникли вопросы, смело задавайте их в комментариях.

Так же я подготовил для вас «десерт», интересное видео, которое очень сильно мотивирует:

Комментарии

Аватар пользователя Мира

Здравствуйте! Хотела спросить как поменять файл setting.php на переменную

Аватар пользователя Admin

Не совсем понял вопрос. Этот файл нельзя же чем-то заменить, он нужен для работы Друпала. Если вопрос был в другом, перефразируйте его пожалуйста?

Добавить комментарий