Drupal 在全球擁有數百萬用戶，是開源 CMS 平臺的市場領導者。組織正在使用這個平臺來實現靈活的架構、實施速度、數字創新、大量免費提供的社區代碼和可擴展性，而不必擔心軟件供應商鎖定。此外，Drupal 的每一個核心戰略舉措都包括 API 優先、工作流和媒體，使 Drupal 更具雄心。

然而，在這個數字環境中，每個企業都擔心安全漏洞。內置的 Drupal 安全功能有助于減輕這種擔憂，但任何使用 Drupal 的企業都必須采取一些額外的步驟來完全保護其 CMS 并使其符合客戶的需求。對于受 PCI DSS、HIPAA 等合規性框架約束的組織來說尤其如此。有效保護 Drupal 需要了解 Drupal 安全最佳實踐以安全地維護它。

Drupal 安全漏洞

與其他 CMS 平臺相比，Drupal 享有安全 CMS 的美譽。擁有積極開發Drupal安全模塊的安全開發團隊，即時識別、發布并解決安全問題。此外，開源還有助于 Drupal 緩解安全問題，因為任何人都可以檢查其源代碼中的漏洞并突出顯示修復程序。

盡管如此，Drupal 安全漏洞確實在演變，遠程代碼執行攻擊是風險最高的攻擊之一。在這次攻擊中，黑客在托管 Drupal CMS 的受害系統上執行惡意軟件。Drupalgeddon2 和 drupalgeddon3 是利用 Drupal 7 和 8 中的遠程代碼執行漏洞的兩個主要攻擊。此 Drupal 漏洞已于 2018 年修復。Drupal 中的其他常見漏洞包括允許對內容進行授權訪問的訪問繞過漏洞和允許攻擊者禁用 Drupal 網站的DoS（拒絕服務）漏洞。

要遵循的頂級 Drupal 安全最佳實踐

1. 查您的用戶角色并阻止訪問權限

Drupal 提供多個用戶和角色，如管理員、經過身份驗證的用戶、編輯者、匿名用戶等。一旦安裝 Drupal 或添加更多模塊，您就可以手動為每個角色分配和授予權限。為保護網站，行使正確的角色和文件權限，如讀取、寫入和修改。例如，匿名用戶應該擁有最少的權限，如只讀。

如果權限松散，這可能允許入侵者訪問您的敏感文件。還建議阻止對重要文件的訪問，例如upgrade.php文件、authorize.php文件、install.php文件和cron.php文件。

2. 安裝SSL證書

SSL 證書專用于敏感數據的安全處理。許多人認為 SSL 證書僅對電子商務網站至關重要，信息和博客網站不需要維護 HTTPS 連接。但是 SSL 加密對于 Drupal 登錄頁面保護您的登錄憑據很重要。此外，SSL 證書提供多項 SEO 和性能優勢，從受信任的供應商處獲取 SSL 證書，以保護您 Drupal 網站上的數據傳輸。

3. 謹慎使用您的用戶名和密碼

根據 MobileIron 的說法，弱密碼仍然是數據泄露的首要原因。42% 的組織因用戶密碼泄露而遭到破壞。許多使用“12345”等最簡單密碼的人更容易受到暴力攻擊。請記住，今天的機器人正在互聯網上爬行以欺騙登錄詳細信息。使用復雜的用戶名和密碼是加強 Drupal 安全性的最簡單和最有效的方法之一。

4. 限制登錄嘗試次數

限制登錄嘗試可以幫助您避免成為暴力攻擊的受害者。作為 Drupal 安全最佳實踐之一，Drupal 7 及更高版本將每個用戶在 6 小時內的登錄嘗試次數限制為 5 次。如果超過這些限制，用戶將被阻止 6 小時內無法進一步登錄。如果您使用的是早期版本，請添加一個 Drupal 安全模塊，該模塊包含限制登錄嘗試的功能。

5. 保持冷靜并及時了解最新情況

使您的 Drupal 版本保持最新確實是企業為確保網站安全所能采取的最少行動。Drupal 貢獻者一直在尋找 Drupal 漏洞和安全威脅，這可能意味著破壞。當貢獻者推出任何新更新時，他們通常會包含針對安全漏洞的補丁和修復程序。延遲這些更新可能會為不良行為者打開大門。讓您的 Drupal 擴展和主題保持最新，以遠離網站威脅。

6. 執行定期的 Drupal 站點備份

網站備份可以幫助您在發生任何最糟糕的事件時恢復您的網站。除了 Drupal 核心和模塊文件之外，重要的是將網站運行的所有重要內容都包含在備份中。這有助于在您被簡單回滾破壞后快速恢復您的網站。還建議在開始對您的站點進行任何更新之前進行可靠的備份，這在您第一次安裝模塊或主題時尤其重要。

7. 利用 Drupal 的安全特性

Drupal 安全模塊可以鎖定您的網站并為其提供額外的保護層。這些安全功能使您能夠阻止安全威脅、強制使用強密碼、阻止惡意網絡、掃描漏洞等等。以下是您必須在您的網站上使用的 Drupal 安全功能列表：

• 安全審查模塊——自動化測試以發現安全錯誤
• 雙因素身份驗證——除了登錄頁面外，還添加了額外的身份驗證層
• 密碼策略——這個 Drupal 安全模塊為登錄表單提供了另一層安全保護，以防止機器人程序和其他安全威脅
• 內容訪問——允許根據角色和作者授予內容權限
• 密碼策略——定義安全密碼策略
• ACL——Drupal 安全功能提供訪問控制列表
• Captcha——用于過濾不需要的垃圾郵件機器人的 Drupal 安全模塊
• 自動注銷——在一定時間后注銷用戶
• 會話限制——限制每個用戶的會話數
• 被黑了——安全模塊檢查 Drupal 主題或核心是否有任何變化