Datasoft

Drupal | Web design | 3D | Baze podataka

Sigurnost Drupal web stranica - 1. dio

Listopad 24, 2012 - 23:18 -- ssoltic

Ogroman broj modula i tema za Drupal je jedna od prednosti Drupal CMS-a. Isto tako, ta proširivost predstavlja i potencijalni sigurnosni problem u vidu ranjivog koda u modulu ili temi. Pokušat ću navesti glavne točke na koje treba obratiti pažnju svaki Drupal administrator.

 

Nadogradnja na Drupal 7

Nadogradnja na Drupal 7 definitivno je preporučljiva zbog mnogih sigurnosnih poboljšanja. Zbog velikih promjena u samom kodu Drupal jezgre mnogi moduli se moraju nanovo napisati kako bi podržavali Drupal 7. Napokon Drupal sa verzijom 7 podržava instalaciju modula preko web sučelja. Najveći sigurnosni nedostatak dosadašnjih verzija Drupala je bio u slaboj ažuriranosti, kako Drupal jezgre tako i modula na web stranicama od strane administratora stranica. Proces ažuriranje jezgre ili modula je bio donekle problematičan i neugodan. Tako su mnoge web stranice rijetko ažurirale svoje Drupal instalacije, te su time postale nesigurne. Ažuriranje u Drupal 7 je postalo znatno poboljšano, te se time podigla razina sigurnosti web stranica na Drupal instalaciji.

Dodatne sigurnosne prednosti Drupala
  • Ojačana sigurnost za spremljene korisničke zaporke - zaporke u Drupal 7 su šifrirane sa phppass-om. Prijašnje verziju koristile su za spremanje korisničkih zaporki MD5 algoritam koji se sada smatra donekle nesigurnim
  • Obavijesti o dostupnoj nadogradnji - Drupal 7 posjeduje sistem automatskog obavješćivanja putem emaila o dostupnoj sigurnosnoj nadogradnji jezgre ili modula. Za Drupal 6 tu mogućnost morali ste dodati putem dodatnog modula.
  • Ograničavanje neuspjelih pokušaja prijave - Drupal 7 sadrži zaštitu od „brute force“ načina probijanja zaporki. Podrazumijevani limit za neuspjeli broj pokušaja prijave je pet pokušaja u šest sati, kao i limit od 50 neuspjelih pokušaja sa iste IP adrese u jednom satu. Ove postavke se mogu promijeniti u „modules/user/user.module“.

 

Ažuriranje Drupal instalacije

Ažuriranje Drupala je najbitniji korak u sigurnosti Drupal web stranica. Proces ažuriranja sastoji se od nadogradnji tri područja:

  • Nadogradnja Drupal jezgre
  • Sigurnosna nadogradnja dodatnih modula
  • Sigurnosna nadogradnja tema

Obavijesti o trenutnoj sigurnosnoj situaciji Drupala možete naći na adresi http://drupal.org/security. U Drupal 7 instalaciji, svaka web stranica u administratorskom sučelju obavještava vas o postojećim sigurnosnim nadogradnjama.

Obavijesti o nadogradnjama modula nalaze se na adresi http://drupal.org/security/contrib.

Drupal 7 ima ugrađenu mogućnost obavješćivanja putem emaila o postojanju sigurnosnih nadogradnji ili postojanju nadogradnji za module ili teme. Moduli ili teme koje se ne koriste trebalo bi  obrisati sa poslužitelja, ti moduli ili teme se vremenom neće ažurirati i tako postaju ozbiljna sigurnosna prijetnja. 

Potencijalna sigurnosna prijetnja je vlastita izrada  modula, tema, formi ili drugih elemenata Drupal instalacije. Sigurnije rješenje je probati pronaći temu ili modul koji već postoji, a zadovoljava vaše potrebe. Postojeći moduli ili teme već su prošli određena testiranja, te je veća baza korisnika, što znači veća mogućnost pronalaženja eventualnih slabih točaka sigurnosti.

Drush je fantastičan alat za administraciju Drupala. Koristeći drush jednostavnije i brže se obavljaju zadaci kao što su pražnjenje priručne memorije, nadogradnja Drupal jezgre i modula, primijeniti nadogradnju baze podataka, omogućavanja ili onemogućavanje modula itd.
Savjetujem korištenje drush-a jer je odličan alat za ažuriranje i nadogradnju Drupal web stranica