Οι κορυφαίες 20 μονάδες ασφαλείας Drupal

Οι κορυφαίες 20 μονάδες ασφαλείας Drupal

Σήμερα, η ασφάλεια του ιστότοπού κάποιου χρησιμοποιώντας μονάδες ασφαλείας Drupal αποτελεί πρωταρχικό μέλημα για τους ιδιοκτήτες επιχειρήσεων, περισσότερο από ποτέ. Το Drupal εξουσιοδοτεί περισσότερους από 700.000 ιστότοπους σε ολόκληρο το Διαδίκτυο—αυτοί είναι πολλοί ιστότοποι—και οι πιθανότητες ένας ιδιοκτήτης ιστότοπου Drupal να δεχτεί συγκεντρωμένη επίθεση στον κυβερνοχώρο είναι μεγαλύτερες από ποτέ.

Ένα από τα σημαντικότερα πλεονεκτήματα του Drupal είναι η εστίαση της ομάδας του Drupal στο να διασφαλίσει ότι ο πυρήνας του Drupal είναι σε μεγάλο βαθμό απαλλαγμένος από τυχόν τρωτά σημεία ή κενά που μπορούν να θέσουν σε κίνδυνο την ασφάλεια του ιστότοπου. Ένα άλλο πλεονέκτημα είναι ότι οι μονάδες τρίτων ελέγχονται σε μεγάλο βαθμό και δοκιμάζονται από την εκτεταμένη κοινότητα. Αυτή η διαδικασία αξιολόγησης από ομοτίμους διασφαλίζει ότι οι λειτουργικές μονάδες τρίτων δεν θα καταλήξουν να γίνουν παραθυράκια για επιθέσεις, σε μεγάλο βαθμό.

Αλλά στο τέλος της ημέρας, οι μονάδες χωρίς σφάλματα δεν αρκούν. Χρειάζεστε πάντα ένα επιπλέον επίπεδο ασφαλείας, για εκείνη τη βροχερή μέρα που ο ιστότοπός σας δέχεται πυρκαγιά από ανεπιθύμητα μηνύματα, καθώς και από πιο αποφασιστικούς ανθρώπους επιτιθέμενους. Για το σκοπό αυτό, προχωρήσαμε και συντάξαμε μια τεράστια λίστα με λειτουργικές μονάδες ασφαλείας του Drupal που μπορούν να σας βοηθήσουν να δημιουργήσετε ένα ισχυρό επίπεδο ασφάλειας γύρω από τον ιστότοπό σας και να κρατήσετε μακριά κάθε είδους ζητήματα ασφαλείας του Drupal.

Αυθεντικοποίηση

1. Ασφάλεια σύνδεσης

  • Λήψεις - 100.942
  • Αναφερόμενες εγκαταστάσεις - 16.708
  • Συμβατές εκδόσεις - Drupal 8 και παρακάτω.
  • Σκοπός - Αυτή η ενότητα βοηθά τους διαχειριστές τοποθεσιών να προσθέτουν περιορισμούς στις ροές σύνδεσης σε έναν ιστότοπο Drupal. Για παράδειγμα, μπορεί κανείς να περιορίσει τον αριθμό των μη έγκυρων προσπαθειών ελέγχου ταυτότητας πριν τον αποκλεισμό ενός λογαριασμού, να αρνηθεί την πρόσβαση από συγκεκριμένες IP και ούτω καθεξής. Σας ειδοποιεί επίσης μέσω email ή μέσω ειδοποιήσεων Nagios εάν η φόρμα σύνδεσης δέχεται επίθεση με μεθόδους ωμής βίας ή απόπειρες εικασίας ονόματος χρήστη/κωδικού πρόσβασης.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/login_security

2. Πολιτική κωδικού πρόσβασης

  • Λήψεις - 407.012
  • Αναφερόμενες εγκαταστάσεις - 34.869
  • Συμβατές εκδόσεις - Drupal 8 και παρακάτω.
  • Σκοπός - Αυτή η λειτουργική μονάδα ασφαλείας Drupal μπορεί να χρησιμοποιηθεί για τον καθορισμό περιορισμών και κανόνων για τον ορισμό κωδικών πρόσβασης λογαριασμού. Για παράδειγμα, ένας διαχειριστής τοποθεσίας μπορεί να ορίσει έναν κανόνα που δηλώνει ότι όλοι οι κωδικοί πρόσβασης πρέπει να έχουν ένα κεφαλαίο γράμμα, έναν αριθμό και ένα ειδικό σύμβολο.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/password_policy

3. Έλεγχος ταυτότητας δύο παραγόντων

  • Λήψεις - 23.277
  • Αναφερόμενες εγκαταστάσεις - 5.330
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω.
  • Σκοπός - Αυτή η ενότητα επιτρέπει στους διαχειριστές του ιστότοπου να ορίζουν στρατηγικές ελέγχου ταυτότητας δύο παραγόντων για έλεγχο ταυτότητας. Αποστέλλεται με διάφορους μηχανισμούς—χρησιμοποιούμενους κωδικούς πρόσβασης/PIN μιας χρήσης, κωδικούς που παραδίδονται μέσω μηνυμάτων κειμένου, προ-δημιουργημένους κωδικούς και πολλά άλλα.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/tfa

4. Πρόληψη απαρίθμησης ονόματος χρήστη

  • Λήψεις - 76.455
  • Αναφερόμενες εγκαταστάσεις - 10.144
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω, έκδοση προέκδοσης διαθέσιμη για Drupal 8.
  • Σκοπός - Οι εισβολείς μπορούν να δοκιμάσουν να αποκτήσουν πρόσβαση σε έναν ιστότοπο του Drupal χρησιμοποιώντας απαρίθμηση ονομάτων χρήστη. Η ιδέα είναι να μάθετε εάν υπάρχει ένα όνομα χρήστη εισάγοντας τυχαία ονόματα χρήστη. αν δεν υπάρχει όνομα χρήστη, το λέει το Drupal. Όταν υπάρχει ένα όνομα χρήστη, το Drupal εμφανίζει ένα μήνυμα που δηλώνει ότι τα διαπιστευτήρια εξουσιοδότησης δεν είναι έγκυρα, δηλώνοντας έτσι στον εισβολέα ότι βρέθηκε ένα έγκυρο όνομα χρήστη. Αυτή η ενότητα αντικαθιστά το τυπικό μήνυμα σφάλματος άγνωστου ονόματος χρήστη, καθιστώντας έτσι αδύνατο για τους εισβολείς να χρησιμοποιήσουν αυτή την τεχνική με επιτυχία.
  • Γνωστά ζητήματα - Ενδέχεται να περιλαμβάνονται ονόματα χρηστών σε σχόλια και κόμβοι που αυτή η λειτουργική μονάδα ενδέχεται να μην ανιχνεύει—κάτι που θα μπορούσε να οδηγήσει σε μια κατάσταση όπου μπορεί να γίνει εκμετάλλευση της απαρίθμησης ονομάτων χρήστη.
  • Λήψη - https://www.drupal.org/project/username_enumeration_prevention

5. ACL

  • Λήψεις - 292.469
  • Αναφερόμενες εγκαταστάσεις - 28.522
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω, έκδοση προέκδοσης διαθέσιμη για Drupal 8.
  • Σκοπός - Αυτή η λειτουργική μονάδα δεν συνοδεύεται από διεπαφή χρήστη - είναι ουσιαστικά ένα σύνολο API που επιτρέπουν σε άλλες λειτουργικές μονάδες να δημιουργούν μια λίστα χρηστών και να τους επιτρέπουν επιλεκτική πρόσβαση σε ορισμένους κόμβους.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/acl

6. Πρόσβαση στο περιεχόμενο

  • Λήψεις - 492.277
  • Αναφερόμενες εγκαταστάσεις - 74.322
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω.
  • Σκοπός - Αυτή η ενότητα ασφαλείας του Drupal σάς βοηθά να ορίσετε λεπτομερή δικαιώματα για συγκεκριμένους τύπους περιεχομένου, τόσο ανά ρόλο όσο και ανά συγγραφέα. Μπορείτε να καθορίσετε τα δικαιώματα προβολής/επεξεργασίας/διαγραφής με λεπτομερή τρόπο.
  • Γνωστά ζητήματα - Εφόσον αυτή η λειτουργική μονάδα χρησιμοποιεί το API κόμβου του Drupal, συνιστάται να μην εγκαταστήσετε άλλες λειτουργικές μονάδες που χρησιμοποιούν τα ίδια τελικά σημεία. Επίσης, αυτή η ενότητα δεν καλύπτεται από την συμβουλευτική πολιτική ασφαλείας του Drupal.
  • Λήψη - https://www.drupal.org/project/content_access

7. Αντιπλημμυρικός έλεγχος

  • Λήψεις - 431.844
  • Αναφερόμενες εγκαταστάσεις - 14.429
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω, έκδοση προέκδοσης διαθέσιμη για Drupal 8.
  • Σκοπός - Αυτή η λειτουργική μονάδα προσθέτει μια ενότητα στη διεπαφή χρήστη διαχείρισης, για την τροποποίηση κρυφών παραμέτρων ελέγχου πλημμύρας—περιοριστές προσπάθειας σύνδεσης μεταξύ άλλων, για παράδειγμα.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/flood_control

8. Αυτόματη Αποσύνδεση

  • Λήψεις - 167.391
  • Αναφερόμενες εγκαταστάσεις - 25.259
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω, έκδοση προέκδοσης διαθέσιμη για Drupal 8.
  • Σκοπός - Αυτή η ενότητα επιτρέπει στους διαχειριστές του ιστότοπου να ορίσουν μια πολιτική που αποσυνδέει αυτόματα τους χρήστες μετά από μια καθορισμένη περίοδο ανενεργής λειτουργίας. Τα χρονικά όρια μπορούν να προσαρμοστούν ανά ρόλο, καθώς και ενσωμάτωση με χρονόμετρα που βασίζονται σε Javascript.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/autologout

9. Όριο συνεδρίας

  • Λήψεις - 58.454
  • Αναφερόμενες εγκαταστάσεις - 12.240
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω, έκδοση προέκδοσης διαθέσιμη για Drupal 8.
  • Σκοπός - Αυτή η ενότητα βοηθά στον περιορισμό του αριθμού των ταυτόχρονων περιόδων σύνδεσης που επιτρέπονται για τους χρήστες. Οι πολιτικές μπορούν να διαμορφωθούν για μεμονωμένους χρήστες, καθώς και για ρόλους.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/session_limit

10. ΛΔΑΠ

  • Λήψεις - 510.501
  • Αναφερόμενες εγκαταστάσεις - 22.730
  • Συμβατές εκδόσεις - Drupal 8 και παρακάτω.
  • Σκοπός - Εάν ο οργανισμός σας χρησιμοποιεί διακομιστή LDAP για έλεγχο ταυτότητας/εξουσιοδότηση, αυτή η ενότητα σάς βοηθά να διαμορφώσετε το Drupal ώστε να χρησιμοποιεί τα ίδια διαπιστευτήρια LDAP για τον ιστότοπό σας στο Drupal.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/ldap

11. Έλεγχος ταυτότητας Εφαρμογών Google

  • Λήψεις - 1.508
  • Αναφερόμενες εγκαταστάσεις - Μη Διαθέσιμες
  • Συμβατές εκδόσεις - Drupal 6 και παρακάτω.
  • Σκοπός - Εάν χρησιμοποιείτε το Google Apps for Business, τότε αυτή η ενότητα σάς επιτρέπει να χρησιμοποιείτε τα διαπιστευτήρια της εφαρμογής Google για έλεγχο ταυτότητας και εξουσιοδότηση χρήστη μέσα στο Drupal.
  • Γνωστά ζητήματα - Αυτή η ενότητα δεν καλύπτεται από την συμβουλευτική πολιτική ασφαλείας του Drupal.
  • Λήψεις - https://www.drupal.org/project/googleauth

Αναθεώρηση ασφαλείας

1. Κιτ ασφαλείας

  • Λήψεις - 208.909
  • Αναφερόμενες εγκαταστάσεις - 24.756
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω, έκδοση προέκδοσης διαθέσιμη για Drupal 8.
  • Σκοπός - Αυτή η ενότητα βοηθά τους διαχειριστές του ιστότοπου να ρυθμίσουν διάφορες επιλογές που συμβάλλουν στον μετριασμό των εκμεταλλευτικών κινδύνων από διάφορες ευπάθειες. Για παράδειγμα, μπορεί να βοηθήσει στη ρύθμιση κεφαλίδων HTTP που βοηθούν στον έλεγχο της δέσμης ενεργειών και της πλαστογραφίας μεταξύ τοποθεσιών, καθώς και του clickjacking και πολλά άλλα.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/seckit

2. Έλεγχος ασφαλείας

  • Λήψεις - 319.044
  • Αναφερόμενες εγκαταστάσεις - 36.264
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω, έκδοση προέκδοσης διαθέσιμη για Drupal 8.
  • Σκοπός - Αυτή η ενότητα αυτοματοποιεί πολλές δοκιμές που σας βοηθούν να προσδιορίσετε εάν ο ιστότοπός σας είναι ευάλωτος σε πολλούς παραδοσιακούς φορείς επίθεσης. Εκτελεί δοκιμές για να ελέγξει για εκμεταλλεύσεις XSS, την παρουσία PHP ή Javascript σε κόμβους περιεχομένου, αυθαίρετη εκτέλεση PHP, επιθέσεις SQL injection και πολλά άλλα.
  • Γνωστά ζητήματα - ενώ η ενότητα καλύπτει πολύ έδαφος, οι έλεγχοι που παρέχονται από αυτήν την ενότητα δεν σημαίνουν απαραίτητα ότι ο ιστότοπός σας είναι εντελώς κλειδωμένος και ασφαλής.
  • Λήψη - https://www.drupal.org/project/security_review

3. Παράνοια

  • Λήψεις - 74.914
  • Αναφερόμενες εγκαταστάσεις - 6.290
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω.
  • Σκοπός - Με την κατάλληλη ονομασία, αυτή η ενότητα προσπαθεί να εντοπίσει όλα τα μέρη όπου ένας χρήστης μπορεί να αξιολογήσει αυθαίρετο κώδικα PHP και, στη συνέχεια, προχωρά και τον αποκλείει. Βοηθά στη μείωση των πιθανοτήτων ένας εισβολέας να αποκτήσει αυξημένα δικαιώματα σε έναν ιστότοπο Drupal.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/paranoia

4. Κωδικοποιητής

  • Λήψεις - 811.094
  • Αναφερόμενες εγκαταστάσεις - 3.383
  • Συμβατές εκδόσεις - Drupal 8 και παρακάτω.
  • Σκοπός - Ο Κωδικοποιητής ελέγχει τον κώδικα Drupal και προσδιορίζει μέρη όπου δεν ακολουθούνται οι βέλτιστες πρακτικές. Πρέπει να σημειωθεί ότι το Coder είναι περισσότερο ένα εργαλείο γραμμής εντολών, με υποστήριξη IDE.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/coder

5. Ασφαλής αποτροπή παραβίασης σελίδων

  • Λήψεις - 18.138
  • Αναφερόμενες εγκαταστάσεις - 1.372
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω.
  • Σκοπός - Αυτή η λειτουργική μονάδα βοηθά στην αποτροπή πρόσβασης σε σελίδες με δυνατότητα SSL για παραβιάσεις περιόδων σύνδεσης, ενώ επιτρέπει στους χρήστες να παραμένουν πιστοποιημένοι ενώ περιηγούνται σε σελίδες που δεν είναι SSL.
  • Γνωστά ζητήματα - Αυτή η ενότητα δεν καλύπτεται από την συμβουλευτική πολιτική ασφαλείας του Drupal.
  • Λήψη - https://www.drupal.org/project/securepages_prevent_hijack

Πρόληψη ανεπιθύμητων μηνυμάτων

1. Captcha

  • Λήψεις - 1.829.256
  • Αναφερόμενες εγκαταστάσεις - 277.251
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω, έκδοση προέκδοσης διαθέσιμη για Drupal 8.
  • Σκοπός - Το πανάρχαιο σύστημα Captcha είναι μια από τις καλύτερες μεθόδους για την εξασφάλιση φόρμες υποβολής οποιουδήποτε είδους από ανεπιθύμητα μηνύματα. Αυτή η ενότητα βοηθά τους διαχειριστές τοποθεσιών να συμπεριλάβουν υποστήριξη Captcha με οποιοδήποτε είδος φόρμας, στον ιστότοπό τους στο Drupal.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/captcha

2. SpamSpan

  • Λήψεις - 104.446
  • Αναφερόμενες εγκαταστάσεις - 17.524
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω, έκδοση προέκδοσης διαθέσιμη για Drupal 8.
  • Σκοπός - Η λειτουργική μονάδα SpamSpan αποκρύπτει τις διευθύνσεις email, για να αποτρέψει τη συλλογή τους από ανεπιθύμητα μηνύματα. Το πλεονέκτημα της χρήσης του SpamSpan είναι ότι χρησιμοποιεί Javascript για συσκότιση, κάτι που βοηθά στην προσβασιμότητα.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/spamspan

3. Αποκλεισμός ανώνυμων συνδέσμων

  • Λήψεις - 11.096
  • Αναφερόμενες εγκαταστάσεις - 1.087
  • Συμβατές εκδόσεις - Drupal 7 και παρακάτω, έκδοση προέκδοσης διαθέσιμη για Drupal 8.
  • Σκοπός - Τα περισσότερα σχόλια ανεπιθύμητης αλληλογραφίας περιέχουν συνδέσμους και τα περισσότερα ανεπιθύμητα μηνύματα δεν εγγράφονται σε ιστότοπους στους οποίους είναι ανεπιθύμητοι. Αυτή η ενότητα προχωρά και αποκλείει συνδέσμους σε ανώνυμα σχόλια.
  • Γνωστά θέματα - Κανένα.
  • Λήψη - https://www.drupal.org/project/blockanonymouslinks

Ενημερώσεις

Μονάδα ενημέρωσης πυρήνα Drupal

  • Λήψεις  - ΝΑ
  • Αναφερόμενες εγκαταστάσεις  - NA
  • Συμβατές εκδόσεις - NA
  • Σκοπός - Ένας από τους καλύτερους τρόπους για να διασφαλίσετε ότι ο ιστότοπός σας στο Drupal προστατεύεται πάντα είναι να βεβαιωθείτε ότι οι ενημερώσεις στον πυρήνα του Drupal εγκαθίστανται τακτικά. Αυτές οι ενημερώσεις μπορεί να περιέχουν είτε ενημερώσεις κώδικα ασφαλείας είτε σταδιακές αναβαθμίσεις. Αυτή είναι μια βασική ενότητα και η σημασία της δεν μπορεί να υπερεκτιμηθεί όταν πρόκειται να διασφαλίσουμε ότι ο ιστότοπός σας στο Drupal είναι καλά συντηρημένος και σε συγχρονισμό με τη βάση κώδικα του Drupal.
  • Γνωστά θέματα - Κανένα.
  • Πληροφορίες - https://www.drupal.org/docs/8/core/modules/update/overview

Αυτό φροντίζει λοιπόν την ασφάλεια του Drupal;

Οχι τόσο πολύ. Ωστόσο, παρόλο που αυτή η λίστα δεν είναι καθόλου πλήρης, θα πρέπει να σας δώσει ένα προβάδισμα στην ασφάλεια του ιστότοπού σας στο Drupal αμέσως. Οι μονάδες ασφαλείας του Drupal που περιλαμβάνονται παραπάνω σάς επιτρέπουν να δοκιμάζετε για τρωτά σημεία και εκμεταλλεύσεις, να τα συνδέσετε, καθώς και να προσαρμόσετε τις πολιτικές ελέγχου ταυτότητας και εξουσιοδότησης.

Η επιμελής παρακολούθηση των βέλτιστων πρακτικών ασφαλείας του Drupal έχει πολύ νόημα για τους ιδιοκτήτες ιστότοπων. Η ιδέα είναι να έχετε μια έτοιμη διαδικασία για να ακολουθήσετε όταν πρόκειται για δοκιμή και αποσύνδεση κοινών τρωτών σημείων που μπορεί να εκθέσει ο ιστότοπός σας.

Μια ολοκληρωμένη λίστα ελέγχου και πολιτική ασφαλείας του Drupal σε συνδυασμό με έναν στοχαστικό συνδυασμό των λειτουργικών μονάδων ασφαλείας του Drupal που αναφέρονται παραπάνω θα πρέπει να διασφαλίσει ότι ο ιστότοπός σας στο Drupal έχει έναν βαρύ κλοιό ασφαλείας γύρω του, για την ημέρα που το χρειάζεται πραγματικά. Άλλωστε, για να παραθέσω τον Andy Grove: «Μόνο οι παρανοϊκοί επιβιώνουν».

Ετικέτες

Σχόλια