Datasoft

Drupal | Web design | 3D | Baze podataka

Sigurnost Drupal web stranica 2. dio

Listopad 27, 2012 - 23:03 -- ssoltic

Nastavljamo temu o sigurnosti Drupal web stranica 1. Dio koju smo započeli prošli put. Govorili smo o važnosti nadogradnje na Drupal 7 kao i vrlo važnom aspektu ažuriranja Drupal instalacije.

Korištenje SSH protokola za nadogradnju Drupal sustava

Ugrađeni sustav za nadogradnju i instalaciju modula preko web sučelja ima mogućnost korištenja SSH protokola za spajanje na poslužitelje. Naravno da je iz sigurnosnih razloga bolje koristit ovaj protokol u odnosu na FTP. Ako vam se opcija za SSH ne pokazuje, morate instalirati slijedeći skup PHP funkcija: Zavisno od Linux distribucije koji imate na poslužitelju. Za Debian i Ubuntu: $sudo apt-get install libssh2-php


HTTPS i Drupal

Drupal standardno koristi HTTP protokol, šaljući pristupne podatke u tekstualnom obliku. Jedno od rješenja je da cijelo web sjedište djeluje preko HTTPS-a. Kako nije idealno da nam kompletno web sjedište funkcionira preko HTTPS-a, možemo koristiti taj protokol samo za prijavu na stranice, te prilikom popunjavanja formi.
U tom slučaju korištenje modula Secure Login omogućava vam korištenje HTTPS protokola za prijavu na stranice i razne obrasce za registrirane korisnike, a HTTP protokol za neregistrirane.

 

Ovlasti na web poslužitelju

Ovlasti nad datotekama i direktorijima u Drupalu su vrlo bitan faktor za sigurnost. Direktoriji i datoteke nikad ne bi smjele imati oznaku CHMOD 777, isto tako CHMOD 777 nije niti potreban za Drupal kako bi funkcionirao. Direktoriji bi trebali biti CHMOD 750 ili 755, a datoteke CHMOD 644 ili 640.


Sigurnosni moduli

Moduli koji vam mogu ukazati na sigurnosne propuste i preporučiti potrebne korake za podizanje razine sigurnosti vaših web stranica.

  • Security Review modul: provjerava razne aspekte Drupal instalacije uključujući ovlasti nad datotekama i direktorijima, ovlasti korisnika, greške u bazi podataka, te konfiguraciju dopuštenog formata teksta (admin/config/content/formats).
  • Secure Login modul: spomenut ranije u tekstu. Vrlo značajan modul za registrirane korisnike jer omogućava sigurno spajanje i prijavu, te ispunjavanje obrazaca vašim web stranicama.

 

Sigurnosne kopije (Backup)

Redovna izrada sigurnosnih kopija sustava je administratorska radnja koja se svakako mora raditi. Kod Drupal treba se raditi dvije vrste kopija: redovita kopija baze podataka i redovita kopija datoteka i direktorija Drupal instalacije. Backup and Migrate je odličan modul za izradu sigurnosnih kopija baze podataka. Možete ga podesiti i za automatsku izradu kopija.

 

Skeniranje i ispitivanje

Redovito skeniranje Drupal web stranica sa nekom od web aplikacija za skeniranje sigurnosnih propusta i ranjivosti bi se trebala obavljati barem jednom mjesečno. Na Internetu se može naći velik broj besplatnih aplikacija za skeniranje ranjivosti na XSS i SQL injection napade, što je vrlo bitno za Drupal web stranice.

 

Zaključak

Iz svega ovoga može se zaključiti da je Drupal CMS vrlo siguran sustav. Za sigurnost Drupal web stranica vrlo je bitno redovito ažuriranje i nadogradnje kako jezgre Drupala, tako i dodatnih modula. Ako je moguće koristite SSH i HTTPS protokole.
Skripte koje omogućavaju instalaciju Drupala jednim klikom miša, uobičajeno kod web hosting firmi, većinom nemaju uključene sve korake koje smo spomenuli. Moje mišljenje je da što je prije moguće nadogradite sustav na Drupal 7.