drupal防黑

Drupal防黑（本文主要讲解Drupal安装后出现的一些防黑问题）

2018年12月的统计，全球约有16.5亿个网站，当中有一半采用 CMS管理系统进行建站。

在CMS市场上，市占率最高的是WordPress，占了60%，居次的是Joomla的6.6%，Drupal则以4.6%名列第三，意味着约有3,700万个网站采用Drupal。

因为drupal官方一直在做优化，所以安全性上我们不用担心。也正因为如此，很多著名官方机构网站才敢用drupal建站。

我们只需把基本的防护做好即可。

 

1.检查drupal的版本为最新，完整。


2.尽量的使用系统默认的配置以及代码，不要找第三方网站开发公司进行开发与设计，


3.默认的一些安全属性不要去碰，只有再不得已的情况下才开启权限，默认是不能开启。


4.网站的运行权限避免使用root管理员权限，使用普通的账号权限去运行。


5.定期对网站的系统进行安全检测与安全维护，对一些特殊的文件代码进行对比，经常的安全备份代码。


6.对于数据库的备份要做到每天一份，尽可能的把损失降到最低。


7.服务器的IP可以使用CDN加速，来隐藏网站的真实IP，避免遭受到流量攻击。
 

drupal服务器方面的安全部署，应该从以下几点开始设置

 

1.使用iptables端口安全设置，对常用的网站80端口，21端口，SSH端口进行开放。杜绝任何IP连接服务器的其他端口。

像mysql数据库的端口也要禁止掉，不要对外开放，只允许本地数据库调用。

 

2.网站文件夹的权限设置，网站文件权限设置为非root权限账户进行允许，对于网站的目录只有普通账户以及root账户才有修改权限，

普通权限的账号无法对服务器的系统目录进行修改，查看，写入。

 

3.删除一些不常用的web服务器组件与插件，尽可能的缩减到最少，这样才是最安全的。对网站的访问方式启用https,SSL绿色证书访问模式，

加强网站的加密方式，用户输入的账号密码，以及注册的资料，都会以SSL加密的方式进行传输，保障用户的数据安全。

 

4.drupal的代码文件权限设置一下，将配置文件settings.php设置为只读权限，包括模块文件夹，以及模板文件夹，都设置为只读，

如果需要更改就开放只读权限，对于一些drupal使用到的缓存文件夹，以及session文件都需要开发写入权限，去掉脚本PHP执行权限。

 

5.drupal的网站漏洞修复，检查官网的补丁升级，以及最新版本，后台可以更新到最新版本，以及单独的漏洞补丁包到官方网站去下载，经常去检查。