Drupal-site-security
Drupal-サイトのセキュリティ
この章では、Drupalサイトを保護する方法を学習します。 この章では、サイト管理者向けのセキュリティ構成の提案を指定し、サイトを保護する方法を管理者に警告します。
- セキュリティレビュー*モジュールがサイトの安全性を低下させる間違いのテストを自動化するセキュリティ設定に役立つ多くの貢献モジュールがあります。
*Drupal core、contrib* 、または *Drupal.org* を使用して、問題に関する電子メールを送信することにより、セキュリティの問題を直接報告できます。 セキュリティチームは、プロジェクトメンテナーの助けを借りて問題の解決を支援します。
Webサーバーとしてサーバーファイルシステムを*構成*することにより、ファイルのアクセス許可と所有権を保護します(例: Apache)は、ファイルを編集または書き込むためのアクセス権を持つべきではありません。 後で実行される_read only_ファイルである必要があります。
セキュリティリスクレベルはhttps://www.nist.gov/itl/csd/cmss-072512.cfm/[NIST Common Misuse Scoring System(NISTIR 7864)]に基づいているため、組織は問題の管理方法を確認できます。 。 以下は、0から25までの数字を割り当てることにより、セキュリティリスクレベルを理解するのに役立つポイントです-
- 0〜4 -クリティカルではありません。
- 5〜9 -それほど重要ではありません。
- 10〜14 -中程度にクリティカル。
- 15から19 -クリティカル
- 20〜25 -非常に重大。
PCI(Payment Card Industry)は、クレジットカード番号などの機密情報を受け入れながら、多数の_Data Security Standards_を定義しています。 これはDrupal固有のものではありませんが、各Drupal開発者がこれを認識することが重要です。 PCIの問題について詳しく知るには、このリンクhttp://drupalpcicompliance.org/files/DrupalPCICompliance.pdf[Drupal PCIコンプライアンスホワイトペーパー]を参照してください。
ユーザーは、削除されることも、ユーザーがDrupalサイトで自分自身を削除することも許可されます。これにより、予期しない状況が発生する場合があります。
*HTTPS* を有効にします。これは、以下のようなWebサイトに機密情報を送信するためにより安全です-
- クレジットカード
- PHPセッションCookieなどの機密性の高いCookie
- パスワードとユーザー名
- 識別可能な情報(社会保障番号、州ID番号など)
- 機密コンテンツ
提供された*モジュール*を使用してセキュリティを強化します。 いくつかの標準モジュールのカテゴリは-
セキュリティカテゴリ
ユーザーアクセス/認証
スパム防止モジュール
*Secure Permission* モジュールをインストールすることにより、ユーザーの役割と権限を無効にできます。
*Login Security* モジュールをインストールすることにより、ログイン操作でセキュリティ操作を改善できます。
サイト管理者は、サイトをプライベートにし、ロールによってユーザーのアクセスを制限することでサイトを保護できます。 このプロセスにより、サイトは検索エンジンや他のクローラーにアクセスできなくなります(wwwのデータのインデックスを作成するため)。