Drupal 在全球擁有數(shù)百萬用戶，是開源 CMS 平臺(tái)的市場(chǎng)領(lǐng)導(dǎo)者。組織正在使用這個(gè)平臺(tái)來實(shí)現(xiàn)靈活的架構(gòu)、實(shí)施速度、數(shù)字創(chuàng)新、大量免費(fèi)提供的社區(qū)代碼和可擴(kuò)展性，而不必?fù)?dān)心軟件供應(yīng)商鎖定。此外，Drupal 的每一個(gè)核心戰(zhàn)略舉措都包括 API 優(yōu)先、工作流和媒體，使 Drupal 更具雄心。

然而，在這個(gè)數(shù)字環(huán)境中，每個(gè)企業(yè)都擔(dān)心安全漏洞。內(nèi)置的 Drupal 安全功能有助于減輕這種擔(dān)憂，但任何使用 Drupal 的企業(yè)都必須采取一些額外的步驟來完全保護(hù)其 CMS 并使其符合客戶的需求。對(duì)于受 PCI DSS、HIPAA 等合規(guī)性框架約束的組織來說尤其如此。有效保護(hù) Drupal 需要了解 Drupal 安全最佳實(shí)踐以安全地維護(hù)它。

Drupal 安全漏洞

與其他 CMS 平臺(tái)相比，Drupal 享有安全 CMS 的美譽(yù)。擁有積極開發(fā)Drupal安全模塊的安全開發(fā)團(tuán)隊(duì)，即時(shí)識(shí)別、發(fā)布并解決安全問題。此外，開源還有助于 Drupal 緩解安全問題，因?yàn)槿魏稳硕伎梢詸z查其源代碼中的漏洞并突出顯示修復(fù)程序。

盡管如此，Drupal 安全漏洞確實(shí)在演變，遠(yuǎn)程代碼執(zhí)行攻擊是風(fēng)險(xiǎn)最高的攻擊之一。在這次攻擊中，黑客在托管 Drupal CMS 的受害系統(tǒng)上執(zhí)行惡意軟件。Drupalgeddon2 和 drupalgeddon3 是利用 Drupal 7 和 8 中的遠(yuǎn)程代碼執(zhí)行漏洞的兩個(gè)主要攻擊。此 Drupal 漏洞已于 2018 年修復(fù)。Drupal 中的其他常見漏洞包括允許對(duì)內(nèi)容進(jìn)行授權(quán)訪問的訪問繞過漏洞和允許攻擊者禁用 Drupal 網(wǎng)站的DoS（拒絕服務(wù)）漏洞。

要遵循的頂級(jí) Drupal 安全最佳實(shí)踐

1. 查您的用戶角色并阻止訪問權(quán)限

Drupal 提供多個(gè)用戶和角色，如管理員、經(jīng)過身份驗(yàn)證的用戶、編輯者、匿名用戶等。一旦安裝 Drupal 或添加更多模塊，您就可以手動(dòng)為每個(gè)角色分配和授予權(quán)限。為保護(hù)網(wǎng)站，行使正確的角色和文件權(quán)限，如讀取、寫入和修改。例如，匿名用戶應(yīng)該擁有最少的權(quán)限，如只讀。

如果權(quán)限松散，這可能允許入侵者訪問您的敏感文件。還建議阻止對(duì)重要文件的訪問，例如upgrade.php文件、authorize.php文件、install.php文件和cron.php文件。

2. 安裝SSL證書

SSL 證書專用于敏感數(shù)據(jù)的安全處理。許多人認(rèn)為 SSL 證書僅對(duì)電子商務(wù)網(wǎng)站至關(guān)重要，信息和博客網(wǎng)站不需要維護(hù) HTTPS 連接。但是 SSL 加密對(duì)于 Drupal 登錄頁面保護(hù)您的登錄憑據(jù)很重要。此外，SSL 證書提供多項(xiàng) SEO 和性能優(yōu)勢(shì)，從受信任的供應(yīng)商處獲取 SSL 證書，以保護(hù)您 Drupal 網(wǎng)站上的數(shù)據(jù)傳輸。

3. 謹(jǐn)慎使用您的用戶名和密碼

根據(jù) MobileIron 的說法，弱密碼仍然是數(shù)據(jù)泄露的首要原因。42% 的組織因用戶密碼泄露而遭到破壞。許多使用“12345”等最簡(jiǎn)單密碼的人更容易受到暴力攻擊。請(qǐng)記住，今天的機(jī)器人正在互聯(lián)網(wǎng)上爬行以欺騙登錄詳細(xì)信息。使用復(fù)雜的用戶名和密碼是加強(qiáng) Drupal 安全性的最簡(jiǎn)單和最有效的方法之一。

4. 限制登錄嘗試次數(shù)

限制登錄嘗試可以幫助您避免成為暴力攻擊的受害者。作為 Drupal 安全最佳實(shí)踐之一，Drupal 7 及更高版本將每個(gè)用戶在 6 小時(shí)內(nèi)的登錄嘗試次數(shù)限制為 5 次。如果超過這些限制，用戶將被阻止 6 小時(shí)內(nèi)無法進(jìn)一步登錄。如果您使用的是早期版本，請(qǐng)?zhí)砑右粋€(gè) Drupal 安全模塊，該模塊包含限制登錄嘗試的功能。

5. 保持冷靜并及時(shí)了解最新情況

使您的 Drupal 版本保持最新確實(shí)是企業(yè)為確保網(wǎng)站安全所能采取的最少行動(dòng)。Drupal 貢獻(xiàn)者一直在尋找 Drupal 漏洞和安全威脅，這可能意味著破壞。當(dāng)貢獻(xiàn)者推出任何新更新時(shí)，他們通常會(huì)包含針對(duì)安全漏洞的補(bǔ)丁和修復(fù)程序。延遲這些更新可能會(huì)為不良行為者打開大門。讓您的 Drupal 擴(kuò)展和主題保持最新，以遠(yuǎn)離網(wǎng)站威脅。

6. 執(zhí)行定期的 Drupal 站點(diǎn)備份

網(wǎng)站備份可以幫助您在發(fā)生任何最糟糕的事件時(shí)恢復(fù)您的網(wǎng)站。除了 Drupal 核心和模塊文件之外，重要的是將網(wǎng)站運(yùn)行的所有重要內(nèi)容都包含在備份中。這有助于在您被簡(jiǎn)單回滾破壞后快速恢復(fù)您的網(wǎng)站。還建議在開始對(duì)您的站點(diǎn)進(jìn)行任何更新之前進(jìn)行可靠的備份，這在您第一次安裝模塊或主題時(shí)尤其重要。

7. 利用 Drupal 的安全特性

Drupal 安全模塊可以鎖定您的網(wǎng)站并為其提供額外的保護(hù)層。這些安全功能使您能夠阻止安全威脅、強(qiáng)制使用強(qiáng)密碼、阻止惡意網(wǎng)絡(luò)、掃描漏洞等等。以下是您必須在您的網(wǎng)站上使用的 Drupal 安全功能列表：

• 安全審查模塊——自動(dòng)化測(cè)試以發(fā)現(xiàn)安全錯(cuò)誤
• 雙因素身份驗(yàn)證——除了登錄頁面外，還添加了額外的身份驗(yàn)證層
• 密碼策略——這個(gè) Drupal 安全模塊為登錄表單提供了另一層安全保護(hù)，以防止機(jī)器人程序和其他安全威脅
• 內(nèi)容訪問——允許根據(jù)角色和作者授予內(nèi)容權(quán)限
• 密碼策略——定義安全密碼策略
• ACL——Drupal 安全功能提供訪問控制列表
• Captcha——用于過濾不需要的垃圾郵件機(jī)器人的 Drupal 安全模塊
• 自動(dòng)注銷——在一定時(shí)間后注銷用戶
• 會(huì)話限制——限制每個(gè)用戶的會(huì)話數(shù)
• 被黑了——安全模塊檢查 Drupal 主題或核心是否有任何變化