אבטחת אתר אינטרנט הנה משימה מורכבת וחשובה במיוחד, וככל שהאתר מורכב יותר טכנולוגית, ככל שיותר גולשים מבקרים בו, כך רמת הפגיעות הולכת וגדלה.
ישנן דרכים רבות לשמור על רמת אבטחה גבוהה של אתר אינטרנט ובפוסט זה אדבר בעיקר על אתרי דרופל, ובעיקר גרסאות דרופל 7+8 מתוך הנחה שהדרך הטובה ביותר לשמור על רמת אבטחה גבוהה של אתר דרופל 6 היא פשוט לשדרג אותו לדרופל 8.
ראשית דבר, מאילו פגיעות יש לחשוש
אתר CVE Details הנו מקור מידע מצוין למעקב אחר פגיעויות שונות באתרי אינטרנט ומהווה מקור סטטיסטי מצוין על כמות הפגיעויות לפי שנים, לפי סוג וכדומה, במערכות ניהול התוכן השונות השונות ולא רק.
בעמוד הזה תוכלו לראות פילוח לפי פגיעויות שונות ולפי השנים, ופה ניתן ללמוד על הפגיעויות השונות, או כמובן לחפש בגוגל..
עוד אפשר ללמוד על הפער בין פגיעויות באתרי וודרפרס לפגיעויות באתרי דרופל, כאשר במקרה הזה בכל אופן, נראה כי מצב האבטחה בדרופל טוב בהרבה, במיוחד בשנה האחרונה. וזאת למרות הסיפור הידוע שהתרחש בשנת 2014.
אפשר גם ללמוד עוד על ההשוואה בפוסט הזה שמצטרף להשוואה גם את ג׳ומלה.
באופן כללי ניתן לומר כי באתר שאינו מאובטח הסכנות העיקריות הינן:
- פריצה על ידי גורם זר ולעיתים להיות חשוף באופן מתמשך.
- אובדן נתונים ופגיעה במסד הנתונים.
- פגיעה בביצועי האתר.
- חשיפה להתקפות ספאם מרובות עד לנזק אמיתי.
כיצד קהילת דרופל מתמודדת עם פגיעויות?
קהילת דרופל, להבדיל מקהילות רבות אחרות, כוללת קבוצת אבטחה, מתכנתים בכירים בתשלום, שתפקידם לשמור על רמת האבטחה של דרופל.
ניתן להישאר מעודכנים דרך העמוד שלהם, או מומלץ במיוחד דרך חשבון הטוויטר שלהם. וגם עמוד הדוקומונטציה של קבוצת האבטחה.
והנה אינפוגרפיקה מקסימה על האופן בו זה נעשה.
הדרכים לצמצם ואף למנוע את כמות הפגיעויות באתרי דרופל
לא אדון פה בכלל הדרכים, גם לא אכנס עמוק לתוך הקוד, אלא באלו העיקריות.
עדכון גרסת דרופל - ליבה
חשוב במיוחד, זה קריטי, לשמור על גרסת דרופל העדכנית ביותר, ויותר מכך, חשוב לא להגיע למצב בו גרסת העדכון האחרונה הנה כמה גרסאות אחורה, שכן במצב כזה ביצוע עדכון לא תמיד יעבור בהצלחה, בצורה מיידית, ויכול להוביל לבעיות נוספות. בנוסף עדכון דחוי יכול לקחת לא מעט שעות פיתוח.
אגב, עדכון גרסת ליבה מביא איתו גם תיקוני באגים ופיצ׳רים חדשים ומרגשים, במיוחד בדרופל 8.
בכדי להישאר מעודכנים אפשר להיכנס לעמוד הדוחות >> עדכוני אבטחה.
עמוד זה מאפשר צפייה גם בגרסאות הרכיבים הדורשים עדכון, וכמובן מומלץ לבצע עדכוני אבטחה לאחר גיבוי מלא, בסביבת פיתוח, רצוי בשיטות CI שונות ושימוש ב-drush או composer.
עדכוני רכיבים
קריטי לבצע עדכוני אבטחה לרכיבים פעילים באתר (ולמחוק רכיבים שאינם פעילים, בעיקר באתר החי), שכן אלו מכילים, כמו גרסת הליבה, פיסות קוד מעודכנות בהתאם לעדכוני אבטחה שונים.
עוד טרם מבצעים עדכון לרכיבים רצוי מאד לבחור רכיבים בצורה נכונה ובהתאם להמלצות הקהילה בנושא, כאשר לאחרונה גם התווסף האייקון the Shield of Awesomeness המתאר את רמת האבטחה של הרכיב (פוסט להרחבת הדעת בנושא).
הרשאות לקבצים ותיקיות
יש לוודא את תצורת ההרשאות לתיקיות ולקבצים באתר שלך. ישנן המלצות באשר להרשאות השונות שיש לתת לתיקיות וקבצים מסוימים באתר, ניתן לקרוא על כך עוד כאן.
דרכים נוספות לשמירה על רמת אבטחה גבוהה
-
שמירה על שם משתמש וסיסמא מסובכים ועדכון שלהם אחת ל-3 חודשים.
-
שימוש ברכיבים המחזקים את רמת האבטחה - coder, Password policy, Login Security, Website Malware and Security Scanner, Security Review module.
-
הרצת האתר תחת פרוטוקול SSL כלומר https://
-
על דרכים נוספות ניתן לקרוא בפוסט הבא, ופוסט הזה, שהיו מקורות לפוסט זה.