آموزش دروپال - امنیت غنی شده

سلامی گرم خدمت شما دوستان و همراهان عزیز و محترم

 

در باب روش های امنیت وب سایت و سامانه های تحت وب گفتنی ها بسیار است و فراتر از آن میزان اهمیت این مقوله می باشد و اعتباری است که در صورت عدم توجه به آن لطمه می بیند.

سیستم مدیریت محتوای بی نظیر دروپال به ادعای بسیاری از کارشناسان و اهالی فن یکی از امن ترین سیستم های موجود با توجه به امکانات ارایه شده در آن می باشد. یعنی این طور می توان گفت که سیستم های امن تری از دروپال نیز وجود دارند ولی یا باید بهای مالی این امنیت را پرداخت کرد و یا اینکه امکانات ارایه شده به علت حفظ امنیت به گستردگی و کاملی دروپال نیستند.

سیستم مدیریت محتوای دروپال برای تامین امنیت خود نیاز به رعایت ملاحظات امنیتی مختلفی دارد که قصد دارم در این مقاله به سه موردی که کمتر به آن ها پرداخته شده بپردازم :

استفاده از افزونه security kit

کافی است که این افزونه را نصب کنید. تنظیمات پیش فرض آن اکثر نقاط امنیتی مربوط به حوزه حملات xss را که جدیدترین نوع حملات به سامانه های تحت وب هستند را پوشش می دهد. برای این که در صفحه پیکربندی این وب سایت تنظیمات پیش رفته تر لحاظ کنید نیاز به دانش عمیق تری از امنیت صفحات وب دارید که معمولا به دردسرش نمی ارزد.

پاک کردن فایل install.php

بعد از اینکه سایت خودتون را روی لوکال هاست (localhost) ساختید و سایت را روی سرور قرار دادید حتما به یاد داشته باشید که فایل install.php را حذف کنید. چون دیگه بهش نیاز ندارید و تازه میشه از طریق اون یک جورایی سایتتون را اذیت کرد.

امنیت فایل های روی سرور

اکثر سایت هایی که ساخته می شوند و روی سرور قرار می گیرند از نوع host sharing هستند و از نرم افزارهایی مثل cpanel , kloxo , directadmin برای مدیریت سایت ها استفاده می شود.

قبلا درباره امنیت فایل ها و مجوزهای (permissions) مورد نیاز در این مقاله خدمتتون صحبت کردم. ولی نکته ای که مونده بود این هست که در این نوع سرورهایی که در بالا گفتم هم صاحب فایل و هم گروه فایل یکی هستند و وب سرور هم یکی است.

مثلا در تصویر زیر نگاه کنید که مجوز فایل index.php به صورتی است که هم کاربر و هم گروه drupalwa هست و وب سرور هم از همین اسم استفاده می کند :

برای جلوگیری از خطر ایجاد فایل های غیر مجاز روی سرور حتما در این گونه موارد :

 

  1. مجوز تمامی فایل های روی سرور را در صفحه اصلی نصب دروپال یعنی صفحه ای که فایل index.php قرار دارد به صورت بازگشتی (recursive) روی 444 تنظیم نمایید:

  1. در مرحله بعد مجوز تمامی پوشه های همین صفحه اصلی نصب دروپال ( صفحه ای که فایل index.php در آن قرار دارد) را روی 555 قرار دهید:

  1. بعد وارد پوشه sites شوید و بعد از اون داخل پوشه default مجوز این پوشه را نیز به صورت recursive روی 755 قرار دهید تا وب سرور بتواند فایل های مورد نیاز خود را در آن بنویسد:

یک نکته ظریف : البته به یاد داشته باشید که مجوز پوشه tmp یا temp یا هر پوشه دیگری را که در قسمت پیکربندی و سیستم فایل (file system) برای مسیر "دایرکتوری موقت" انتخاب کرده اید را نیز به صورت recursive روی 755 تنظیم نمایید:

اگر هم مولتی سایت دروپال بهره می برید همان عملیات شماره 3 را برای هر پوشه مولتی سایتی دروپال اجرا نمایید.

  1. یک نکته تکمیلی هم داریم که حواستون باشه یک سری فایل مخفی با نام htaccess. وجود دارند که حتما باید مجوز 444 داشته باشند. برای مشاهده فایل های مخفی روش های مختلفی وجود دارد که بسته به نوع سیستم مدیریتی که استفاده می کنید داخل گوگل سرچ نمایید. این فایل های مخفی در مسیرهای اصلی نصب دروپال و همچنین در پوشه های files , temp وجود دارند.

اضافه کردن پیام جدید

Basic HTML

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id> <p> <br> <span> <img src alt data-entity-type data-entity-uuid data-align data-caption width height>
  • No HTML tags allowed.