- Drupal 基础教程
- Drupal - 主页
- Drupal - 概述
- Drupal - 安装
- Drupal - 架构
- Drupal - 主菜单
- Drupal - 块和区域
- Drupal - 主题和布局
- Drupal - 首页
- Drupal - 静态页面
- Drupal - 创建博客
- Drupal - 创建文章
- Drupal - 创建页面
- Drupal - 创建内容
- Drupal - 修改内容
- Drupal - 删除内容
- Drupal - 发布内容
- Drupal - 菜单管理
- Drupal - 分类法
- Drupal - 评论
- Drupal - 用户管理
- Drupal - 优化
- Drupal - 站点备份
- Drupal - 站点升级
- Drupal - 公告
- Drupal 高级版
- Drupal - URL 别名
- Drupal - 网站搜索
- Drupal - 错误处理
- Drupal - 多语言内容
- Drupal - 触发器和操作
- Drupal - 社交网络
- Drupal - 国际化
- Drupal - 扩展
- Drupal - 默认模块
- Drupal - 窗格模块
- Drupal - 书籍模块
- Drupal - 聚合器模块
- Drupal - 联系模块
- Drupal - 表单模块
- Drupal - 投票模块
- Drupal - 站点安全
- Drupal电子商务
- Drupal - 设置购物车
- Drupal - 创建产品
- Drupal - 创建类别
- Drupal - 设置税
- Drupal - 设置折扣
- Drupal - 接收捐赠
- Drupal - 设置运输
- Drupal - 设置付款
- Drupal - 发票生成
- Drupal - 电子邮件通知
- Drupal - 订单历史记录
- Drupal 有用资源
- Drupal - 问题与解答
- Drupal - 快速指南
- Drupal - 有用的资源
- Drupal - 讨论
Drupal - 站点安全
在本章中,我们将研究如何保护 Drupal 站点的安全。本章为站点管理员指定安全配置建议,并提醒管理员如何保护站点。
有许多贡献的模块可以帮助您进行安全配置,其中安全审查模块可以自动测试导致站点不安全的错误。
您可以通过发送有关问题的电子邮件直接向Drupal core、contrib或Drupal.org报告安全问题。安全团队将在项目维护人员的帮助下帮助解决您的问题。
通过配置服务器文件系统来保护您的文件权限和所有权,因为 Web 服务器(例如 Apache)不应具有编辑或写入文件的权限。它应该是只读文件,稍后执行。
安全风险级别基于NIST 常见误用评分系统 (NISTIR 7864),以便组织可以验证如何管理问题。以下几点将通过分配 0 到 25 之间的数字来帮助您了解安全风险级别 -
0 到 4 - 不重要。
5 到 9 - 不太重要。
10 至 14 – 中等严重。
15 至 19 - 关键
20 至 25 - 高度关键。
在接受信用卡号等敏感信息的同时,PCI(支付卡行业)定义了许多数据安全标准。虽然这不是 Drupal 特有的,但对于每个 Drupal 开发人员来说,了解这一点很重要。要了解有关 PCI 问题的更多信息,您可以参考此链接Drupal PCI 合规性白皮书。
Drupal 站点允许删除用户,甚至允许用户删除自己,这有时会导致意外情况。
启用HTTPS,这样可以更安全地将敏感信息发送到网站,例如:
信用卡
敏感 cookie,例如 PHP 会话 cookie
密码和用户名
身份信息(社会安全号码、州身份证号码等)
机密内容
使用贡献的模块增强您的安全性。一些标准模块类别是 -
安全类别
用户访问/认证
垃圾邮件预防模块
您可以通过安装安全权限模块来禁用用户的角色和权限。
通过安装登录安全模块,可以提高登录操作的安全性。
站点管理员可以通过将其设为私有并通过角色将站点限制为用户的有限访问来保护其站点。由于此过程,搜索引擎和其他爬虫将无法访问您的网站(以在 www 中创建数据索引)。