Как обеспечить безопасность сайта на Друпал

Система Друпал довольна безопасная CMS, но необходимо предпринять некоторые дополнительные меры для повышения уровня безопасности. Это можно сделать непосредственно после установки системы, что крайне рекомендуется, или же на текущем рабочем сайте. Сделать это важно, так как от этого зависит дальнейшая безопасность сайта.

В IT-технологиях существует даже целое отдельное направление - информационная безопасность. Это неспроста, ведь в настоящее время безопасность действительно важна. В качестве шагов по обеспечению безопасности сайта на Друпал можно выделить некоторые наиболее важные:

• выбирать и устанавливать только последние версии ядра, модулей и тем. Только так можно предотвратить взлом сайта при помощи общеизвестных уязвимостей, ведь как только выходит обновление, в нем описывается способ взлома, этим может воспользоваться любой желающий и завладеть Вашим сайтом. Не стоит выбирать старые версии, даже если в них есть уникальный функционал или оформление, безопасность важнее;
• удалить лишние файлы из корневой директории, которые могут помочь злоумышленнику получить информацию о Вашем сайте, это «CHANGELOG.txt», «COPYRIGHT.txt», «INSTALL.txt», «LICENSE.txt», «MAINTAINERS.txt», «README.txt», «UPGRADE.txt». Можно смело удалять их, это не повредит сайту;
• убрать из исходного кода страницы запись вида «meta name="Generator" content="Drupal 7 (http://drupal.org)"». Также важно для безопасности, как это сделать, можно легко найти в поиске;
• проверить и установить права на папки и файлы Друпал: все папки - 750 (755), все файлы - 640 (644), /sites/default - 550 (750), /sites/default/settings.php - 440 (444), /sites/default/files включая подпапки – 770 (775), файлы – 660 (664). В скобках указаны дополнительные более мягкие варианты, если вдруг хостинг не позволит установить основные;
• включить автоматическую проверку обновлений, чтобы, как только выйдет обновление, моментально установить его в ручном или автоматическом режиме;
• важно продумать, каким образом будет осуществляться резервирование и восстановление данных, например, можно установить модуль Backup and Migrate, а лучше делать сохранение и восстановление данных самостоятельно. Выбирайте хостинг, на котором бекапы хранятся не меньше месяца, так как Вы можете поздно обнаружить, что сайт взломан - тогда придется тратить много времени и сил на восстановление данных вручную. Также сначала придется еще найти и устранить уязвимость, чтобы не повторился взлом;
• устанавливать только сложные пароли, как на доступ в админку сайта, так и на доступ по ftp. Также важно иметь системы предотвращения автоматического подбора пароля, например, установить капчу на сайте. Если пароли несложные или давно не менялись – важно поменять их как можно быстрее.

Таким образом, рассмотрены базовые мероприятия, которые необходимо проделать на сайте для настройки безопасности Друпал. После их выполнения, уровень защищенности сайта значительно повысится.