Eksperci z firmy Sucuri.net, którzy zawodowo zajmują się zabezpieczaniem i ochroną stron internetowych, opracowali poradnik dla Drupala. W przeciwieństwie do bardzo znanego WordPressa, Drupal obsługuje niewiele ponad 2% wszystkich stron internetowych w Internecie, czyli jest to więcej niż 2 miliony aktywnych instalacji. I podobnie jak inne aplikacje internetowe Drupal jest podatny na ataki. Trochę w tym „przypomina Linuksa” — jest bezpieczniejszy niż WordPress (Windows), i jeżeli nie zostanie prawidłowo zabezpieczony, nie będzie aktualizowany, to mu nie pomoże nieduże zainteresowanie hakerów. Dziurawa strona może wyrządzić dużo szkody właścicielowi oraz odwiedzającym użytkownikom.
Bezpieczna konfiguracja „Drupal Security Guide: How to Secure & Protect Your Website” to szereg dobrych wskazówek utwardzania ustawień oraz takich oczywistych kwestii jak wykonywanie kopii zapasowych i aktualizowanie modułów.
Do ważniejszych punktów opisanych przez ekspertów zaliczamy:
- Aktualizowanie motywów strony i modułów.
- Zarządzanie użytkownikami i dostępem.
- Ograniczanie logowania.
- Ograniczanie dostępu do określonych adresów URL.
- Skonfigurowanie 2FA.
- Monitorowanie i wykrywanie włamań.
- Przegląd podstawowych modułów do zwiększenia bezpieczeństwa.
- Wyszczególnienie co powinien zawierać bezpieczny hosting.
- Wykonywanie kopii zapasowych.
- Używanie skanerów do audytowania strony.
To tylko niektóre podpunkty dotyczące „utwardzania” ustawień strony opartej o Drupala. Oprócz zmian (nazwijmy je dynamicznymi) stronę zabezpiecza się w sposób statyczny odpowiednimi wersjami PHP/MySQL i Apache/Nginx/Litespeed. Dla stron hostowanych na zarządzanych serwerach VPS ma to niebagatelne znaczenie, ponieważ nieaktualne wersje składników serwera mogą zawierać luki bezpieczeństwa doprowadzając do wykonania kodu w systemie plików.
Właściciele witryn, które są utrzymywane w firmach hostingowych, teoretycznie mają łatwiej, ponieważ powinni wybierać stabilne i możliwie najnowsze wersje PHP, a o pozostałe elementy serwera, które są potrzebne do funkcjonowania strony, nie muszą się martwić. Miejmy tylko nadzieję, że administratorzy hostingów będą dokładać należytych starań do aktualizowania infrastruktury serwerowej.
Dobry hosting musi być bezpieczny. Dobry hosting musi być nowoczesny. Zasoby dostępne na serwerze hostingowym nie muszą, ale powinny być skalowalne. Nigdy nie wiadomo, kiedy strona trafi na „wykop-efekt”. Zostanie „zddosowana” przez użytkowników. Sytuacja, kiedy brakuje zasobów procesorowych i pamięci operacyjnej, jest czymś powszechnym w tradycyjnych usługach hostingowych. Pomijając absurdalne limity nałożone na PHP i MySQL… Więcej informacji o bezpiecznym hostingu opisaliśmy w recenzji oferty firmy dHosting.pl.
