Spetsialist vastab: kuidas hoida oma Drupali-veeb turvalisena?

Pane tähele! Artikkel on ilmunud enam kui 5 aastat tagasi ning kuulub Geeniuse digitaalsesse arhiivi.

Kaks enamlevinud sisuhaldustarkvara on WordPress ja Drupal. WordPressist on juba üsna palju räägitud, seekord keskendume Drupalile. Küsimustele vastab Ragnar Kurm, Wunderi vanemarendaja.

Kui turvaline on Drupal võrreldes teiste sisuhalduslahendustega?

Kasutame turvalisuse hindamiseks portaali thehackernews.com. Võrdleme Drupali ja tema lähima populaarseima tarkvara WordPressi kriitiliste intsidentide suhet.

  • Otsing: Drupal – 564
  • Otsing: WordPress – 4660

Drupalil on selle järgi kaheksa korda vähem kriitilisi intsidente.

Portaali Zivtech andmetel häkiti 2016. aastal ligi 16 000 veebiportaali. Uuringu järgi enamus probleeme olid põhjustatud halvast paigaldusest, konfiguratsioonist ja hooldusest.

Drupalil on koordineeritud turvapraktikad. Drupali turvameeskond jälgib turvaprotokolle ning vastutusahelat, väljastades igal nädalal turvateemalise uudiskirja. Lisaks sellele on kasutusel karmid programmeerimisstandardid turvalisuse tõstmiseks.

Millised on populaarseimad moodulid, mida kasutatakse kodulehe parema turvalisuse tagamiseks ja mida need lühidalt teevad?

Mõned kõige üldisemad moodulid võiks olla need:

Security Kit

Kollektsioon erinevaid täiendavaid turvalisust tõstvaid meetmeid: Cross-site Scripting, Cross-site Request Forgery, Clickjacking jms.

Hacked!

Võimaldab administraatoril kontrollida, kas Drupali moodulid on originaalid või on muudatusi tehtud (häkitud).

Security Review

See moodul teostab ülevaate Drupali paigaldusest ning toob välja probleemsed kohad, mille administraator peaks kõrvaldama.

Password Policy

Moodul karmistab salasõna keerulisusue ja turvalisuse nõudeid.

Soovitan lisaks vaadata ka neid kahte artiklit, kus antakse veel soovitusi:

Mida peaks vaatama veebimajutuse pakkuja valikul, kui plaanis on Drupalis tehtud veebilehte majutada?

Virtual hosting / Shared hosting

Kui Drupali paigalduse jaoks on vaja spetsiifilisemat konfiguratsiooni, lisarakendusi jne, siis jagatud majutus pole piisav ning tuleb vaadata virtuaalmajutust (kogu OS). Kuid see omakorda toob kaasa lisavastutuse ning kohustuse – vaadelda, hooldada, jälgida, uuendada OS-i.

Käsurida

Oluline on SSH ligipääs, kuna Drupali üks olulisematest tööriistadest/haldusvahenditest drush käivitub käsurealt. Drupal 8 puhul on neid käske rohkem.

Ressurss

Üldiselt tänapäva majutuse puhul see pole enam peamine küsimus majutuse valikul, ressurssi tavaliselt jätkub.

Arendajad/paigaldajad

Kuna Drupal on üsna nagu lego, siis sellega saab ehitada väga erilisi rätsepatööna valmivaid lahendusi, seega on siin raske midagi standardiseerida. Üldiselt arendajatele meeldib, kui on võimalikult lai ligipääs – näiteks saab konfigureerida Nginx, Apache, MySQL, Varnish jm mooduleid.

Varukoopiad

Algajamate tegijate puhul on oluline varukoopiate olemasolu pika perioodi jooksul. Paljud tellijad ei tea, et veebi peab hooldama ning arvavad, et esialgsest tellimusest piisab. Kuid elu näitab, et hooldamata veeb häkitakse peagi ära. Siis oleks väga abiks, kui on olemas mitu kuud või isegi aasta vana varukoopia, et võrrelda, mis on vahepeal muutunud.

Varukoopia puhul on oluline, et see oleks tehtud samal hetkel nii andmebaasist (export) kui ka Drupali installatsioonikataloogist. Võib kasutada selleks ka käsurea käsku drush arb.

Varukoopiaid võiks teha erinevate perioodide lõikes erinevalt. Näiteks viimase 360 päeva jooksul on varukoopia olemas 30-päevase intervalliga, viimase 30 päeva lõikes 7-päevase intervalliga, viimase 7 päeva lõikes ühepäevase intervalliga.

Millised on soovitused arendaja valikul, mida teha ja mida mitte teha turvalise Drupali kodulehe tellimisel?

Arendajal peaks olema:

  • kogemus aastates
  • hea turvateemade ja Linuxi tundmine.

Tähelepanuta ei saa jätta ka süsteemseid aspekte:

  • monitooring
  • teavitused
  • logimine
  • varukoopiad

Artikkel ilmus algselt Veebimajutuse blogis.

Populaarsed lood mujal Geeniuses

Igal argipäeval

Ära jää ilma päeva põnevamatest lugudest

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto-, raha- ja meelelahutusportaali olulisematest lugudest.