Drupal і безпека вашого сайту

Питання безпеки веб-ресурсу, насправді, є досить широким і включає багато дуже різноманітних факторів, в.ч. безпечність системи управління контентом, безпечність майданчика, на якому розташовується сайт, грамотність адміністраторів ресурсів, "людський фактор" і т.д. В даній публікації ми не будемо торкатися всього спектру проблематики безпеки, а лише постараємося коротко розповісти, про те, що стосується безпечності системи управління контентом і те, чому Drupal на даний момент є однією з найбезпечніших CMS.

Щоб не бути голослівними, пригадаємо такий відомий факт: на Drupal працює портал Білого Дому. Drupal схвалений Палатою представників уряду США, а також деякими оборонними компаніями, тож на предмет безпеки дана система управління контентом перевіряється часто і серйозно.

Drupal є безпечним з багатьох причин. По-перше, це «open source» розробка, а це значить, що тисячі користувачів системи з відкритим кодом значно швидше тестують і виявляють вразливості платфоми, взаємодіють з командою розробників, пропонують свої варіанти рішення проблем і т.п. - тобто, при виявленні проблеми безпеки, вона закривається максимально швидко.

Інша причина надійності Drupal полягає в тому, що у команди розробників є цілий спеціалізований відділ, що займається забезпеченням стійкості і надійності системи. На скільки нам відомо, це доволі унікальне явище серед розробників CMS. На даний момент у цій команді приблизно сорок чоловік, які займаються конкретно питанням безпечності Drupal і взаємодіють з іншими користувачами для пошуку найкращих методів вирішення таких проблем.

Ще одним важливим фактором є Спільнота Drupal - за більше ніж десять років існування даної CMS, ця спільнота налічує тисячі користувачів, поголовна більшість з яких є професійними веб-розробниками, котрі самі зацікавлені у безпечності своїх проектів, що автоматично додає ще більше пунктів до стійкості системи.

Однак варто звернути увагу на наступний момент: зважаючи на те, що на даний час Drupal є однією із найпопулярніших CMS у світі, сайти, розроблені на його основі, є доволі цікавою і частою мішенню для всеможливих хакерських атак. Із власного досвіду можемо сказати, що в більшості випадків проблеми з безпекою виникають не через вразливість самої системи, а через "людський фактор" - власники сайтів банально не слідкують за безпекою своїх ресурсів і просто не встановлюють вчасно потрібні оновлення. 

Тож, пропонуємо вам декілька простих підказок, як самостійно зробити власний сайт більш безпечним:

1. Встановлюйте оновлення
Найпростіший і найлегший крок, який можна зробити, щоб переконатися, що всі "двері і вікна" на вашому Drupal сайті закриті, це вчасно встановлювати оновлення. Наявність новітніх версій додаткових модулів і ядра Drupal зробити ваш сайт значно стійкішим до атак.

2. Встановлюйте дозволи
Створення облікового запису на веб-сайті повинно відбуватися за дозволом адміністратора. Вам необхідно встановити дозволи на створення нових акаунтів на вашому веб-сайті.

3. Встановіть Firewall
Ви також повинні сконфігурувати налаштування фаєрвола для вашого веб-сервера і сервера бази даних, які також обмежують несанкціонований доступ до вашого сайту. 

4. Змінюйте паролі
Слідкуйте за тим, щоб раз в 90 днів змінювати паролі для користувачів Drupal, адміністраторів, FTP, бази даних та інших важливих акаунтів. 

5. Окремий план безпеки для модифікованих модулів 
Вам потрібно налаштувати окремий план безпеки для всіх модулів, які ви модифікували, поки не буде випущено  майбутній реліз або патч для тих модулів.

6. Проводьте аудит
Існує набір незалежних онлайн-інструментів для перевірки  вашого сайту на Drupal, які дадуть вам знати про будь-які помилки або про майбутні потенційні вразливості. На приклад: Acunetix, Nikto, Skipfish і т.д. 

7. Встановіть Mollom 
Сайти, які заохочують взаємодію між читачами і авторами у вигляді коментарів, постів і повідомлень є найбільш успішними. Це важливим діяльність, яка розвиває власну інтернет-спільноту і робить ваш пост чи повідомлення вірусними. Однак в цьому теж необхідно знати міру. Для цього й потрібен Mollom. 

Mollom допоможе вам боротися зі спамом та іншими проблемами несанкціонованого доступу за допомогою капчі. Деякі ключові особливості Mollom: 

- Блокує спам-коментарі у будь-якій ноді, статті, сторінці, форумах і т.д. 
- Блокує спам в контактних формах. 
- Захищає оригінальні користувацькі реєстрації / підписки від фальшивих облікових записів користувачів. 
- Захищає форму запиту пароля користувача.

8. Зв'яжіться з Drupal Security Team
Вони працюють цілодобово, щоб переконатися, що Drupal не буде відправлено в нокаут якимось хакером. Якщо ви помітили будь-яку вразливість або лазівку безпеки в вихідному коді Drupal, повідомте про це на security@drupal.org. Вони можуть перевірити код на наявність будь-яких можливих загроз і надати допомогу у вирішенні питання.

Якщо з тих чи інших причин ви не можете дотримуватись зазначених порад самостійно, то можна вдатися до наступного виходу з ситуації. Наша команда, як і більшість професіоналів у сфері веб-розробок, пропонує всеможливу підтримку проектів своїх клієнтів, в тому числі ми надаємо послугу "Security Assistance" - за бажанням наших клієнтів ми самостійно слідкуватимемо за виходом усіх оновлень безпеки для вашого проекту і впроваджуватимемо їх в найкоротші терміни, що значно збільшить шанси вашого сайту продовжувати стабільну роботу і не стати мішенню для чергової хакерської забави.

Статтю підготували: AZH Visuals team