- Drupal 基础教程
- Drupal - 首页
- Drupal - 概述
- Drupal - 安装
- Drupal - 架构
- Drupal - 主菜单
- Drupal - 块与区域
- Drupal - 主题与布局
- Drupal - 首页
- Drupal - 静态页面
- Drupal - 创建博客
- Drupal - 创建文章
- Drupal - 创建页面
- Drupal - 创建内容
- Drupal - 修改内容
- Drupal - 删除内容
- Drupal - 发布内容
- Drupal - 菜单管理
- Drupal - 分类法
- Drupal - 评论
- Drupal - 用户管理
- Drupal - 优化
- Drupal - 网站备份
- Drupal - 网站升级
- Drupal - 公告
- Drupal 高级
- Drupal - URL 别名
- Drupal - 站内搜索
- Drupal - 错误处理
- Drupal - 多语言内容
- Drupal - 触发器与操作
- Drupal - 社交网络
- Drupal - 国际化
- Drupal - 扩展
- Drupal - 默认模块
- Drupal - Pane 模块
- Drupal - Book 模块
- Drupal - Aggregator 模块
- Drupal - Contact 模块
- Drupal - Form 模块
- Drupal - Poll 模块
- Drupal - 网站安全
- Drupal 电子商务
- Drupal - 设置购物车
- Drupal - 创建产品
- Drupal - 创建类别
- Drupal - 设置税费
- Drupal - 设置折扣
- Drupal - 接收捐款
- Drupal - 设置运费
- Drupal - 设置支付方式
- Drupal - 发票生成
- Drupal - 邮件通知
- Drupal - 订单历史
- Drupal 有用资源
- Drupal - 问答
- Drupal - 快速指南
- Drupal - 有用资源
- Drupal - 讨论
Drupal - 网站安全
本章将学习如何保护Drupal网站的安全。本章为网站管理员指定安全配置建议,并提醒管理员如何保护网站安全。
许多贡献模块可以帮助您进行安全配置,其中安全审查模块可以自动测试导致您的网站不安全的错误。
您可以通过发送有关问题的电子邮件,直接向Drupal核心、contrib或Drupal.org报告安全问题。安全团队将在项目维护人员的帮助下帮助解决您的问题。
通过配置服务器文件系统来保护您的文件权限和所有权,因为Web服务器(例如Apache)不应具有编辑或写入文件的权限。它应该是只读文件,稍后执行。
安全风险级别基于NIST通用误用评分系统 (NISTIR 7864),以便组织可以验证如何管理问题。以下是帮助您通过分配0到25之间的数字来了解安全风险级别的要点:
0到4 - 不关键。
5到9 - 较不关键。
10到14 - 中等关键。
15到19 - 关键
20到25 - 高度关键。
在接受信用卡号码等敏感信息时,PCI(支付卡行业)定义了许多数据安全标准。虽然这不是Drupal特有的,但对于每个Drupal开发人员来说,了解这一点很重要。要了解有关PCI问题的更多信息,您可以参考此链接Drupal PCI合规白皮书。
允许删除用户,甚至允许用户自己删除Drupal网站上的用户帐户,这有时会导致意外情况。
启用HTTPS,这对于将敏感信息发送到网站更安全,例如:
信用卡
敏感Cookie,例如PHP会话Cookie
密码和用户名
可识别信息(社会安全号码、州ID号码等)
机密内容
使用贡献的模块增强您的安全性。一些标准模块类别是:
安全类别
用户访问/身份验证
垃圾邮件预防模块
您可以通过安装安全权限模块来禁用用户的角色和权限。
通过安装登录安全模块,可以改进登录操作中的安全操作。
网站管理员可以通过将其设为私有并通过角色限制对用户的访问来保护其网站。由于此过程,您的网站将无法被搜索引擎和其他爬虫访问(以创建www中的数据索引)。