Qualitätsmanagement für Webprojekte

Sie sind hier

Startseite

Drupal sicherer machen Sicherheitsratschläge für Drupal

Veröffentlicht von am 2. März 2007 - Aktualisiert am 13. März 2012 - 14:39
Drupal sicher einsetzen
  • die Daten install.php aus dem Hauptverzeichnis löschen
  • Private Download-Methode verwenden
    Um zu verhindert, dass direkt über den Webserver Dateien herunterladen werden können, die eigentlich nur für bestimmte Rollen bestimmt sind, muss die unter den Dateisystem Einstellungen die Download-Methode Privat - Dateien werden von Drupal übermittelt festgelegt werden.
  • Auf die Datei sites/default/settings.php sollte nur der Webserver Leserechte besitzen- weitere Rechte werden hier nicht benötigt
    Mit folgenden Befehl kann man über ssh die Zugriffsrechte festlegen (auszuführen im Drupal Hauptverzeichnis):
    chmod 440 sites/default/settings.php

Diese Einstellung kann aber auch über einen FTP Programm gemacht werden, indem man bei Besitzer und Gruppe Leserechte aktiviert, alle anderen Zugriffsrechte werden deaktiviert.
Ab Drupal Version 5 wird auch eine optische Warnung im Adminbereich ausgegeben, falls der Webserver Schreibrechte auf dieser Datei besitzen sollte.

Alle Module, die nicht benötigt werden, sollten deaktiviert werden, da jedes einzelne Modul ein potentielles Sicherheitsrisiko darstellen kann.

Wenn es sich bei den nicht benötigten Modulen um manuell aufgespielte Module handelt (ab Drupal Version 5 sind diese zentral im Verzeichnis sites/all/modules zu finden), dann können diese Module auch gelöscht werden.
Positiver Begleiteffekt ist, dass Drupal auch an Performance zulegt, wenn weniger Module aktiv sind!

Empfohlen: update_status Modul

Dieses Modul ist ab Drupal Version 5 verfügbar. Das Modul überprüft die Versionsnummer von Drupal und von allen installierten Modulen und überprüft, ob neuer Version vorliegen. Falls neue Versionen verfügbar sind, wird eine optische Warnmeldung im Adminbereich ausgegeben. Ein absolut geniales Modul, mit den man kein Update mehr übersieht. Vor allem spart es ungemein an Zeitbedarf, da man die manuelle Versions-Überprüfung der einzelnen Module nicht mehr durchführen muss. Deshalb empfehle ich sehr dieses Modul zu installieren.

Unsere Empfehlung

Image of Cracking Drupal: A Drop in the Bucket
Autor: Greg Knaddison
Hersteller.: John Wiley & Sons

Kategorie: 
Server
Sicherheit
Webhosting
Drupal

Schreib doch was dazu

RSS Feed

Anfrage stellen

Autor

Alexander Meindl

Technischer Projektleiter, ScrumMaster, Deployment Experte, PHP, SEO

Facts

seit 1991 Linux
seit 2000 PHP
seit 2005 Drupal
seit 2007 Enterprise Projektmanagement
seit 2007 Scrum

PGP Public Key verfügbar

DrupalCon München 2012

Das AlphaNodes Team ist auf der europäischen DrupalCon 2012 dabei. Diese findet dieses mal in München statt. Wir freuen uns jetzt schon euch auf der DrupalCon München 2012 zu treffen!