Auch wenn Sicherheit nach wie vor eines der größten Anliegen für Unternehmen ist, hat die Bedeutung neuer Technologien gleichzeitig das Verständnis des Begriffs erweitert und verkompliziert. 

Bei Sicherheit geht es nicht mehr darum, isoliert zu arbeiten. 

Oft haben Ereignisse wie Drupalgeddon 2 die Frage „Ist Drupal sicher?“ in den Mittelpunkt gerückt. Drupal gehört zu den wenigen Open-Source-Projekten, die für ihre Sicherheit bekannt sind und über ein engagiertes Team verfügen, das an der Verbesserung der Sicherheit arbeitet. Dennoch gibt es immer wieder Situationen, in denen die Sicherheit Ihrer Drupal-Website bedroht ist. 
 

Sicherheit ist ein riesiges Fachgebiet, das sich mit der Zeit schnell verändert. Es geht nicht mehr um eine einzelne Person, die isoliert arbeitet, oder um einen Experten, der alle Aspekte versteht. 

Während die Liste der Gebote und Verbote umfangreich und erschöpfend ist, um mit den Bedrohungen, Schwachstellen und Abhilfestrategien Schritt zu halten, sind hier die sieben wichtigsten Drupal-Sicherheitspraktiken, die Sie befolgen sollten, um die Gesundheit Ihrer Website zu erhalten. 

Und Aristoteles sagte einst...

Das Ziel des Weisen ist nicht, sich Vergnügen zu sichern, sondern Schmerz zu vermeiden.

Die besten Drupal 8 Sicherheitspraktiken

#1 Absicherung der serverseitigen Hosting-Umgebung

Bevor Sie mit den allgemeinen Sicherheitstipps und -tricks beginnen, müssen Sie Ihre serverseitige Hosting-Umgebung absichern. Hier sind einige Punkte, die Sie beachten sollten, bevor Sie mit der Sicherung Ihres Kerns beginnen. 

1. Schützen Sie den Server: Nur einer begrenzten Anzahl von Benutzern darf der Zugriff auf Ihren Server gestattet werden. Einer der wichtigsten Punkte ist das Hinzufügen einer Basisschicht, indem der Zugriff auf die Server-Login-Daten beschränkt wird. Sobald die Authentifizierung eingerichtet ist, ist es einfacher, den Serverzugriff zu überwachen und die Dateizugriffsrechte einzuschränken. Dies kann Ihnen helfen, ungewöhnliche Aktivitäten zu erkennen.
    
2. Verbergen Sie die Serversignatur: Die Serversignatur muss verborgen werden, da sie wichtige Informationen über den Server und das Betriebssystem preisgibt. Sie kann einem Hacker verraten, ob Sie Apache oder Linux verwenden - Informationen, die als Schwachstelle zur Kompromittierung des Servers genutzt werden können. Um den Server vor möglichen Schwachstellen zu schützen, müssen Sie die Serversignatur verbergen. 
    
3. Aktivieren Sie die Port-basierte Sicherheit - Da die Anwendungen die Portnummern verwenden, ist es wichtig, bestimmte Portnummern vor dem allgemeinen Zugriff zu verbergen. 

#2 Absicherung des Drupal-Kerns

• Halten Sie Ihren Kern aktuell
  Eine wichtige Maßnahme, die Aktualisierung des Kerns, steht immer an erster Stelle, wenn es um gesunde Sicherheitspraktiken geht. Und das war die erste Lektion, die wir aus Drupalgeddon2 gelernt haben. Achten Sie immer auf Kern-Updates (schließen Sie auch die kleineren Releases mit ein), es sei denn, Sicherheit steht nicht auf Ihrer Agenda. In allen seinen Hinweisen fordert das Drupal-Sicherheitsteam die Aktualisierung der Kernversion des Systems. 
  
  Wenn Sie weit hinter dem neuesten Update zurückbleiben, setzen Sie sich selbst Schwachstellen aus. Denn die Geschichte lehrt uns, dass Hacker es auf ältere Versionen abgesehen haben.
  
  Achten Sie auf Kern-Updates. Folgen Sie dem Drupal-Sicherheitsteam @drupalsecurity auf Twitter. Erhalten Sie schnelle Updates und Ankündigungen vom Team per E-Mail und Sicherheits-Newsletter. Sie können auch der Sicherheitsgruppe folgen, um sich zu beteiligen und an den Sicherheitsdiskussionen teilzunehmen. 
  
  Ein weiterer wichtiger Punkt, den Sie hier beachten sollten, ist, dass Sie beim Aktualisieren des Kerns IMMER ein Backup der Datenbank und des Codes Ihrer Website erstellen sollten. Wir werden diese Sicherheitspraktik später in diesem Artikel besprechen. 
   
• Security by Design
  Tatsache ist, dass jeder Beteiligte möchte, dass Sicherheit ein einfaches Konzept ist, aber leider ist das nicht der Fall. Eines der größten Missverständnisse hier wäre, dass die Investition einer beträchtlichen Summe nach der Entwicklung ein sicheres System gewährleisten würde. Das ist aber nie der Fall. 
  
  Die beste Vorgehensweise ist auf Architekturebene, wenn die Website entworfen wird. 
  
  Security by Design stellt sicher, dass die Software von Grund auf so konzipiert ist, dass sie sicher ist, um die Auswirkungen einer entdeckten Schwachstelle zu minimieren. Ihre Sicherheit von Grund auf zu erhöhen, ist der Schlüssel. Das bedeutet, dass Sie die besten Sicherheitspraktiken auf Architekturebene befolgen, anstatt erst nach dem Aufbau der Website. 
  
  Wenn das Fundament des Designs unabhängig von einem später gewählten Ansatz sicher bleibt, können Sie die Probleme leicht angehen. Es muss eine einheitliche Methodik angewendet werden, um die Vermögenswerte vor den Bedrohungen zu schützen. 
  
  Sobald die Anforderungen erfasst wurden, kann die Architektur festgelegt und andere Elemente wie Trusted Execution Environment, Secure Boot, Secure Software Update usw. später besprochen werden.

"Der Schlüssel zur Sicherheit ist ewige Wachsamkeit"

• Verwenden Sie zusätzliche Sicherheitsmodule
  Wenn es um Sicherheit geht, gibt es nichts Besseres, als sich mit immer mehr auszustatten. Um die Mauern hoch zu halten, können Sie die zusätzlichen Sicherheitsmodule wie Security Kit, Captcha und Paranoia verwenden. Drupal Security Review kann als Checkliste verwendet werden, um viele der leicht zu machenden Fehler zu testen und zu überprüfen, die Ihre Website anfällig machen.  
  
  Sie können sich auch eine Liste der unverzichtbaren Sicherheitsmodule ansehen, um zu verhindern, dass Sie das nächste Opfer eines potenziellen Cyberangriffs werden. 
   
  • Security Kit
    SecKit bietet Drupal verschiedene Optionen zur Erhöhung der Sicherheit. Dies ermöglicht es Ihnen, die Risiken der Ausnutzung verschiedener Webanwendungsschwachstellen wie Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery, SSL, Clickjacking und andere zu mindern. 
     

  • Captcha
    Ein CAPTCHA ist ein Reaktionstest, der in die Webstrukturen eingebaut wird, um die Eingabe durch Roboter zu verhindern. Es hilft, die Kontakt- und Anmeldeformulare Ihrer Website zu schützen, indem es Sie auffordert, Ihre Glaubwürdigkeit als Mensch mit einer bizarren Folge von Zeichen, Symbolen, Zahlen und manchmal Bildern zu beweisen.

    Oft hindern sie Sie daran, auf die Inhalte zuzugreifen. Ironischerweise widerspricht ihr Zweck dem, was wir über sie denken.

  • Paranoia 
    Paranoia hilft Ihnen, alle anfälligen Stellen zu identifizieren, von denen ein potenzielles Leck möglich ist. Es benachrichtigt den Administrator, wenn ein Angreifer versucht, das PHP-Skript über die Website-Oberfläche auszuwerten. 
    
    Es hilft, die Berechtigung für den Benutzer zu blockieren, die PHP-Sichtbarkeit und die Erstellung von Eingabeformaten, die den PHP-Filter verwenden, zu gewähren.
    
    Es verhindert auch, dass die Website riskante Berechtigungen erteilt, vor allem solche, die das Durchsickern von Skriptinformationen beinhalten.  

• Aber verwenden Sie nur vom Sicherheitsteam genehmigte Module 
  Ihre Website verwendet wahrscheinlich eine Reihe von Contributed Modules, aber das ist kein Problem. Der Schlüssel liegt in der Verwendung der stabilen und genehmigten Module. Dies ist besonders für Contrib-Module erwähnenswert, die anfälliger für Schwachstellen sind. 
  
  Achten Sie beim Herunterladen eines Contrib-Moduls immer auf das grüne Symbol. Ansonsten gilt, wie es in der Empfehlung heißt: Benutzung auf eigene Gefahr! 

  

   

  

#3 Backups - Für den Fall eines Missgeschicks

• Sichern Sie Ihre Daten
  Katastrophen kommen nie auf Einladung. Während alles perfekt erscheint, wachen Sie vielleicht eines Morgens auf und stellen fest, dass Ihre Website von einem psychotischen Hacker lahmgelegt wurde. Obwohl es sich um ein unvorhergesehenes Ereignis handelt, können Sie sich auf jeden Fall wappnen.
  
  Als Administrator müssen Sie auf all diese unerwünschten Ereignisse vorbereitet sein. Sie können kontrolliert und der Schaden minimiert werden, indem Sie die Sicherheit erhöhen, häufige Backups erstellen und Updates zeitnah installieren.  
  
  Wir können Katastrophen nicht aufhalten, aber wir können uns mit besserer Sicherheit und Backups wappnen. Das Hosting über die Acquia Cloud oder Pantheon bietet automatisierte tägliche Backups der Datenbank, der Dateien und des Codes Ihrer Website sowie die Wiederherstellung mit einem einzigen Klick, falls etwas schief geht. 
  
  Sie können auch das Backup and Migrate Module oder das Demo Module verwenden, denn anders als im Leben hat Ihre Drupal-Website die Möglichkeit, für einige Änderungen zurückzugehen. 

#4 Benutzerseitige Sicherheit

• Befolgen Sie eine Standardpraxis mit einer starken Passwortrichtlinie
  Passwörter werden sowohl auf Admin- als auch auf Benutzerebene verwendet, daher sind starke und sichere Passwörter für Ihre Website wichtig. Wenn ich sage, dass ein starkes Passwort verwendet werden sollte, habe ich nichts gegen kurze und einfache Passwörter. Einfach sollte niemals weniger effizient bedeuten. 
  
   Eine Zeichenkette wie Mypassword123 wird zwar akzeptabel sein, ist aber offensichtlich schwach und kann leicht durch Brute-Force geknackt werden.
  
  Die beste Vorgehensweise? Ihr Passwort sollte eine realistische Stärke in Bezug auf Messung und Komplexität aufweisen. Ein Passwort darf nur dann zugelassen werden, wenn es sich als ausreichend entropisch erweist und eine Kombination aus Zeichen, Buchstaben - Groß- und Kleinschreibung, Symbolen und Zahlen enthält.
  
  Beginnen Sie mit der Überprüfung von Passwörtern anhand expliziter Regeln und der Anzahl der zu verwendenden unterschiedlichen Zeichentypen (Symbole, Zahlen, Großbuchstaben usw.). 
  
  Password Strength - ein Drupal-Modul - klassifiziert die erwartete Brute-Force-Zeit für die summierte Entropie gängiger zugrunde liegender Muster im Passwort. Muster, die in Passwörtern erkannt werden können, sind Wörter, die in einem Wörterbuch mit gängigen Wörtern, gängigen Vor- und Nachnamen oder gängigen Passwörtern gefunden werden. 

Ihr Passwort kann den Unterschied zwischen einer anfälligen und einer schwer zu hackenden Drupal-Site ausmachen.

#5 Richten Sie eine Firewall ein

Am häufigsten wird eine Firewall eingerichtet. Das Einrichten einer Firewall bietet zusätzlichen Schutz für den Webserver und stellt sicher, dass Verbindungen nur von vertrauenswürdigen oder bekannten Parteien akzeptiert werden. Umgekehrt schränkt sie auch den Ausgang von Verbindungen ein. 

#6 Überprüfen Sie die Dateiberechtigungen

Das Einrichten korrekter Dateiberechtigungen kann einen eingeschränkten Zugriff zum Lesen, Schreiben oder Ändern von Dateien ermöglichen. Berechtigungen machen einen großen Unterschied in der Sicherheit, da sie entscheiden, wie kompromittierend die Plattform für die Hacker sein kann. 

Ebenso kann der Zugriff auf wichtige Dateien wie authorize.php, install.php innerhalb der Kerndateien der Website blockiert werden und nur dem Autor und dem Entwickler gestattet sein. 

#7 Aktivieren Sie HTTP Secure (HTTPS)

Ein SSL-Zertifikat kann eine zusätzliche Schutzschicht für Ihre Verbindung zwischen dem Benutzer und dem Server hinzufügen. Dieser Ansatz hindert Hacker daran, in Ihre Server einzudringen, die geschäftskritische Informationen enthalten könnten. Ein zusätzliches Merkmal des SSL-Zertifikats ist, dass es Ihnen hilft, im Suchmaschinenoptimierungsprozess höher zu ranken. 

Darüber hinaus sind Drupal-Websites mit den HTTP-Sicherheitsheadern geschützt, die eine zusätzliche Sicherheitsebene bieten. Der Header leitet den Browser über den Inhalt der Website und ihre Behandlung an. 

#8 Verwenden Sie Content Distribution Networks (CDNs)

Sensible Kundendaten wie Kreditkarten, Passwörter und Anwendungsdaten sind immer anfällig für Angriffe. Solche Daten werden oft unter offenen Gateways von APIs kompromittiert. Sie erfordern die Widerstandsfähigkeit und Intelligenz eines skalierbaren Netzwerks. 

Ebenso haben die Denial-of-Service-Angriffe (DoS) aufgrund des Datenverkehrs und der Verteilung von APIs weiter zugenommen. 

CDNs wie Cloudflare können die intelligente Lösung für solche Bedrohungen und Datenschutzverletzungen sein.

Zusammenfassend

Auch wenn es immer etwas Neues auf der Liste geben wird, können Sie sicher sein, dass diese Liste die Kernpraktiken enthält, die befolgt werden müssen. Das Kommunikationsprotokoll muss klar und gut dokumentiert sein. Ordnungsgemäß dokumentierte Verfahren sind wichtig, da Dienste von Drittanbietern oft manipuliert werden können.

Benötigen Sie ein Sicherheitsupdate oder Dienstleistungen? Schreiben Sie eine E-Mail an [email protected] und lassen Sie sich von uns helfen. 

Site-Ersteller und Entwickler müssen ein Auge auf das Mögliche haben, wenn Sicherheitsupdates angekündigt werden, und diese schnell anwenden, um sicherzustellen, dass die Site nicht kompromittiert wird. Es ist gut, konsequent zu sein und Ihre Argumentation zu dokumentieren, damit sie klar verstanden wird.