12 unverzichtbare Sicherheitsmodule für Ihre Drupal-Website

Ist Drupal sicher?

Eine oft wiederholte Frage, wenn es um die Glaubwürdigkeit von Open-Source-Technologien geht.

Organisationen wie die NASA, CERN, die Europäische Union und die Vereinten Nationen nutzen Drupal vor allem wegen seiner Sicherheit und Skalierbarkeit. Die Drupal-Sicherheitsgruppe (SecWG), die ständig daran arbeitet, potenzielle Sicherheitslücken aufzudecken, ist der Hauptgrund, warum Drupal für seine Sicherheit bekannt ist.

Beim Aufbau einer Website ist es jedoch genauso wichtig, ein großartiges digitales Erlebnis zu gewährleisten wie die Sicherheit Ihrer Website. Lesen Sie mehr über die sechs gesunden Drupal-Praktiken, um sicherzustellen, dass nichts Ihren Ruf auf dem Online-Markt beeinflusst, außer Ihrer guten Arbeit.

Die Community reagiert schnell mit Updates, sobald ein Sicherheitsproblem auftritt, und veröffentlicht Patches, um das Problem zu beheben.

Trotz der Tatsache, dass der Drupal-Kern sicher ist, ist es sehr wahrscheinlich, dass die Anpassungen, die durch die integrierten Module/Funktionen/Themes von Drittanbietern vorgenommen werden, Sicherheitslücken öffnen.

Und hier ist eine Liste von 12 unverzichtbaren Drupal 8-Sicherheitsmodulen für Ihre Website, die Ihnen helfen, nicht das nächste Opfer eines potenziellen Cyberangriffs zu werden.

12 unverzichtbare Drupal 8-Sicherheitsmodule

Captcha

Ein CAPTCHA ist ein Reaktionstest, der in Webformulare eingefügt wird, um die Eingabe durch Bots zu verhindern. Es hilft, die Kontakt- und Anmeldeformulare Ihrer Website zu schützen.

Die Idee ist, Einträge zu erkennen und Einträge von Spambots zu blockieren. Laut Drupal.org können Sie auch zusätzliche Captcha-Module nutzen, wie z. B.:

• reCAPTCHA -    8.74.768 Downloads
• CAPTCHA Pack - 55.634 Downloads
• Text CAPTCHA -  16.234 Downloads
• Egglue Semantic CAPTCHA - 4.417 Downloads
• Captcha Riddler - 22.344 Downloads
• Hidden CAPTCHA -73.741 Downloads
• CAPTCHA After - 10.285 Downloads
• KeyCAPTCHA -  8.340 Downloads
• Draggable CAPTCHA - 2.346 Downloads
• Image CAPTCHA refresh- 30.917 Downloads
• Nocaptcha Recaptcha - 529 Downloads

Modul verfügbar für Version 8.x-1.x Beta1 (aktualisiert am 20. November 2017)
https://www.drupal.org/project/captcha

Login-Sicherheit

Dieses Modul verbessert die Sicherheitsalternativen im Anmeldevorgang Ihrer Drupal-Site. Laut Drupal.org bietet "Login Security eine grundlegende Zugriffskontrolle und verweigert gleichzeitig den IP-Zugriff auf den Inhalt der Site".

Mit dem Login Security-Modul kann ein Site-Manager den Zugriff sicherstellen und einschränken, indem er den Login-Frames Zugriffskontroll-Highlights hinzufügt. Durch die Aktivierung dieses Moduls kann ein Site-Administrator die Anzahl ungültiger Anmeldungen begrenzen, bevor Konten gesperrt werden, oder den Zugriff per IP-Adresse vorübergehend oder dauerhaft verweigern. 

Dieses Modul hilft auch, indem es Benachrichtigungszeichenfolgen per E-Mail sendet, und Nagios kann dem Site-Admin helfen zu erkennen, wann etwas mit dem Login-Typ seiner Site geschieht. 

Für alternative Kontrollen kann die Login-Sicherheit die Login-Fehlermeldungen des Drupal-Kerns beeinträchtigen und den Grund für den Login-Fehler verkomplizieren. Dies könnte es einem Angreifer erschweren, herauszufinden, ob das Konto überhaupt existiert. Bei der Anmeldung kann ein Benutzer alternativ seine letzte Anmeldung überprüfen.

Modul verfügbar für Version 8.x-1.3 Alpha4 (aktualisiert am 20. November 2017)
https://www.drupal.org/project/login_security

Passwortrichtlinie 

Dieses Sicherheitsmodul erzwingt Zeichenbeschränkungen und Richtlinien für die Festlegung von Kontopasswörtern. Als Site-Manager können Sie die Passwörter für die Anmeldung festlegen und standardisieren. Wenn Sie beispielsweise festlegen, dass man einen Großbuchstaben, eine Zahl und ein außergewöhnliches Bild haben muss, kann kein Benutzer ein Passwort erstellen, ohne sich an die genannten Richtlinien zu halten. 

Durch die Erschwerung des Passworts schützen Sie die Informationen vor Wörterbuchangriffen und anderen Brute-Force-Techniken. 

Die Passwortrichtlinie kann als eine Reihe von Parametern oder Einschränkungen definiert werden, die erfüllt sein müssen, bevor ein Benutzerpasswort festgelegt oder geändert wird. 

Laut Drupal.org sind die folgenden Einschränkungstypen in der Passwortrichtlinie erforderlich:

• Ziffer
• Buchstabe
• Buchstabe/Ziffer (Alphanumerisch)
• Länge
• Groß-/Kleinschreibung 
• Satzzeichen
• Benutzername
• Ziffernplatzierung

Modul verfügbar für Version 8.x-3.x (aktualisiert am 20. November 2017)
https://www.drupal.org/project/password_policy

Security Kit

SecKit ist eines der zusätzlichen Sicherheitsmodule, die für Ihre Website verfügbar sind. Es bietet verschiedene Optionen zur Verbesserung der Sicherheit von Webanwendungen. Derzeit unterstützen moderne Browser eine Vielzahl von Techniken zur Abschwächung häufiger Web-Schwachstellen wie Cross-Site Scripting, Cross-Site Request Forgery, Secure Sockets Layer/Transport Layer Security und Clickjacking, die von Browsern nicht verhindert werden können.

Darüber hinaus bietet das Modul Optionen zur Behebung des HTML-Injection-Problems.

Somit bietet SecKit Websites eine einfache und flexible Möglichkeit, diese zu implementieren.

Modul verfügbar für Version 8.x-1.0-alpha2 (aktualisiert am 20. November 2017)
https://www.drupal.org/project/seckit

Automatische Abmeldung

Als wichtiges Sicherheitsmodul betrachtet, können Sie damit das Sitzungs-Timeout für jeden Benutzer festlegen. Es gibt dem Site-Admin die Möglichkeit, Benutzer nach einer bestimmten Zeit der Inaktivität abzumelden, um Ihre Daten zu schützen. 

Außerdem ist es hochgradig anpassbar und ermöglicht es dem Admin, den Sitzungs-Timeout-Zeitraum für verschiedene Benutzerrollen festzulegen und zu deaktivieren. Es enthält einen JS-Mechanismus, um Benutzer angemeldet zu halten, auch wenn der Benutzer längere Zeit an einem Formular gearbeitet hat. 

Modul verfügbar für Version 8.x-1.0 (aktualisiert am 20. November 2017)
https://www.drupal.org/project/autologout

Sitzungsbegrenzung

Session Limit ermöglicht es Administratoren, die Anzahl gleichzeitiger Sitzungen pro Benutzer zu beschränken. Dieses Modul zwingt den Benutzer, sich von allen zusätzlichen Sitzungen abzumelden, nachdem er die vom Administrator definierte Anzahl von Sitzungen überschritten hat. Eine Sitzung wird für jeden Browser eingerichtet, von dem sich ein Benutzer anmelden kann.

Nehmen wir zum Beispiel an, dass der Admin das Limit für 1 Sitzung pro Benutzer in ihrer Drupal-Website festgelegt hat, kann sich der besagte Benutzer nur von 1 Browser gleichzeitig anmelden. Wenn der Benutzer versucht, sich von einem zweiten Browser anzumelden, wird er entweder aufgefordert, sich von dem zuvor angemeldeten Gerät abzumelden, oder er beendet seine neue Anmeldesitzung vorzeitig. 

Ebenso können Sie die maximale Anzahl gleichzeitiger Sitzungen festlegen. Es gibt Ihnen die Möglichkeit, nur eine einzige Sitzung pro Client zuzulassen. Auf diese Weise können Sie auch das Konto des Clients sichern. 

Modul verfügbar für Version 8.x-1.x Beta1 (aktualisiert am 20. November 2017)
https://www.drupal.org/project/session_limit

Zwei-Faktor-Authentifizierung

Durch das Hinzufügen einer zusätzlichen Sicherheitsebene zu Ihrer Website können Sie mit der Zwei-Faktor-Authentifizierung einen zweiten Authentifizierungsfaktor hinzufügen, z. B. ein auf das Mobiltelefon gesendetes OTP. 

TFA ist das Basismodul und bietet eine anpassungsfähige und umfassende Schnittstelle, um Ihre Website mit Double-Layer-Verifizierungsvereinbarungen wie zeitbasierten OTPs, SMS-Codes, vorab generierten Codes oder mit einer Kombination von Diensten von Drittanbietern wie Authy, Duo, Google Authenticator und anderen auszustatten.
 
Modul verfügbar für Version 8.x-1.x Alpha 1 (aktualisiert am 20. November 2017)
https://www.drupal.org/project/tfa

Paranoia

Dieses Modul hilft Ihnen, alle anfälligen Probleme/Orte zu identifizieren, von denen ein potenzielles Leck möglich ist. Es benachrichtigt den Admin, wenn ein Angreifer versucht, das PHP-Skript über die Website-Schnittstelle auszuwerten. 
Es hilft, die Berechtigung für den Benutzer zu blockieren, die PHP-Sichtbarkeit und die Erstellung von Eingabeformaten zu gewähren, die den PHP-Filter verwenden.
Es verhindert auch, dass die Website riskante Berechtigungen gewährt, hauptsächlich solche, die das Durchsickern von Skriptinformationen beinhalten. 

Modul verfügbar für Version 8.x-1.x Alpha 1 (aktualisiert am 20. November 2017)
https://www.drupal.org/project/paranoia

Honeypot

Dies ist ein SPAM-Erkennungsmodul, das Formularfelder verwendet, um Spammer zu entdecken, die auf Ihrer Drupal-Site posten. 

Die beste Alternative zu Captcha ist das Honeypot-Modul. Wenn es passend konfiguriert ist, lockt es die Spambots dazu, Formulare auszufüllen, die für andere (menschliche) Benutzer unsichtbar sind. 

Dies macht es dem Modul leicht, solche Bots zu identifizieren und zu blockieren. Es blockiert die Spambots daran, Formulare auf Ihrer Website einzureichen.

Modul verfügbar für Version 8.x-1.27x (aktualisiert am 20. November 2017)
https://www.drupal.org/project/honeypot

Sichere Anmeldung

Es stellt sicher, dass die eingegebenen Anmelde- oder übermittelten Informationen sicher über HTTPS erfolgen, wodurch Passwörter und Benutzerinformationen vor Diebstahl geschützt werden. Dieses Modul ist sowohl für HTTP als auch für HTTPS verfügbar. 

Das Modul verwendet auch authentifizierte Sitzungscookies, um Session Hijacking zu verhindern. 
Es sichert nicht nur die Benutzer-/Anmeldeseite, sondern jede Seite, die Benutzeranmeldeinformationen oder ein Formular enthält, das der Admin für wichtig hält. 

Modul verfügbar für Version 8.x-1.6x (aktualisiert am 20. November 2017)
https://www.drupal.org/project/securelogin

Sichere Passwort-Hashes (Modulseite)

Passwörter werden in Form eines MD5-Hash in Drupal und vielen anderen Content-Management-Systemen gespeichert. Hacker neigen dazu, den Inhalt Ihrer Benutzertabelle anzuzeigen, wenn sie sich Zugriff auf Ihre Datenbank verschaffen, indem sie Exploits oder MySQL-Injection ausnutzen. 

MD5 ist eine Einwegverschlüsselung, bei der Passwörter verschlüsselt werden, um zu verhindern, dass sie in datengeladene Benutzerkonten eindringen. Hier ist ein Anwendungsfall von MD5, angeblich ist Ihr Passwort "iscream", mit Einwegverschlüsselung sieht es ungefähr so aus: p1f4f9a525af4540 kjup. Diese Hash-Formation war noch nie entschlüsselbar. 

Password Hashes verwendet viel sicherere Verschlüsselungsmethoden, und neben der Verwendung stärkerer Verschlüsselungsmethoden hat es die Fähigkeit, Passwörter während der Verschlüsselung zufällig zu "salzen", um einen eindeutigeren Wert zu erstellen und den Hash viel schwieriger zu entschlüsseln.

XFS (Cross-Frame-Scripting)

Um Cross-Site-Request-Forgery-Angriffe in Anwendungen zu verhindern, verarbeitet es den Origin-HTTP-Request-Header. Dies ist ein sehr wichtiges Sicherheitsmodul für Drupal. Es fügt verschiedenen Sicherheitsbedrohungen Sicherheit hinzu. Es übernimmt auch die Kontrolle über den internen XSS-Filter von Internet Explorer, Safari oder Google Chrome über den X-XSS-Protection-HTTP-Response-Header. Es verhindert auch Content Sniffing. Es fügt auch den X-Frame-Options-HTTP-Response-Header hinzu, um Clickjacking in der Anwendung zu verhindern. Es hilft auch bei der Implementierung von HTTPS, um Abhören und Man-in-the-Middle-Angriffe zu verhindern. Es hilft auch bei der Implementierung der Content Security Policy.

 

Dies sind einige der wenigen Sicherheitsmodule, um Ihre Drupal 8-Website zu sichern und zu gewährleisten. Es ist wichtig, ständig auf mögliche Sicherheitsbedrohungen zu prüfen. Lassen Sie uns Ihnen helfen, Ihre Website zu sichern, sprechen Sie uns unter [email protected] an. Jetzt müssen Sie sich keine Sorgen mehr um die Sicherheitsprobleme machen.