Drupal: Das sichere CMS für maßgeschneiderte digitale Lösungen
Das Content-Management-System und -Framework Drupal basiert auf der Programmiersprache PHP, ist modular konzipiert, quelloffen und lizenzfrei. Das CMS ist deshalb bei Drupal Agenturen so beliebt, weil es einen vergleichsweise schlanker Kern und über 40.000 verschiedene Modelle hat, mit denen man die unterschiedlichsten und dabei höchst flexible Anwendungen gestalten kann.
Dank einer sehr großen Entwickler-Community, die in die Weiterentwicklung der Anwendung involviert ist, gilt Drupal von Haus aus als äußert sicher im Vergleich mit ähnlichen Systemen. Sicherheitslücken werden schnell gefunden und korrigiert. Allerdings muss eine Drupal Website regelmäßig gewartet werden. Besonders empfehlenswert ist in diesem Zusammenhang ein zuverlässiger Update-Service, der alle nötigen Sicherheitsupdates einspielt. Zudem gibt es viele weitere Punkte, die Sie im Hinblick auf die Drupal Sicherheit beachten sollten.
Bild
Wie sicher ist Drupal?
Ob Website, Blog, Onlineshop oder auch Plattformen und Foren - die Sicherheit der genutzten Systeme und Anwendungen stellt einen entscheidenden Erfolgsfaktor für das Betreiben eines eigenen Online-Business dar. Drupal bietet dabei von Haus aus einen hohen Sicherheitsstandard. Sie profitieren hier von einer sehr großen Community, die über eine umfassende Datenbank an Drupal-Wissen verfügt. Da dadurch sehr viele Drupal-Nutzer einen direkten Einblick in den Aufbau und die Funktionsweise von Drupal haben, können Schwächen und Sicherheitslücken sehr schnell identifiziert und auch behoben werden.
Hinzu kommen Sicherheitsfeatures wie zahlreiche sicherheitsrelevante Module oder ein integriertes Zugriffskontrollsystem. Zudem gibt es das reaktions- und handlungsschnelle Drupal Security Team. Dieses Security-Team behebt durch stets zeitnahe Security Fixes selbst identifizierte oder gemeldete Sicherheitslücken. Wie gut das funktioniert, zeigte sich zum Beispiel 2014 und 2018 beim so bezeichneten "Drupalgeddon". Damals entdeckte das Team eine sehr kritische Sicherheitslücke und eliminierte diese innerhalb von wenigen Stunden.
Was sind Sicherheitsaktualisierungen?
Wie andere Systeme ist Drupal auch keine Software, die nicht gelegentlich Fehler aufweist. Die große Gefahr dabei: Einige dieser Fehler können Sicherheitslücken in Modulen, in Themes sowie auch im Drupal-Kernsystem verursachen. Sobald etwaige Sicherheitslücken vom Drupal Security Team entdeckt oder anderweitig bekannt werden, veröffentlicht das CMS eine entsprechende Sicherheitsaktualisierung. Es ist zwingend notwendig, die von Drupal zur Verfügung gestellten Sicherheitsaktualisierungen durchzuführen, um die Drupal Sicherheit zu jedem Zeitpunkt zu gewährleisten. Das CMS bietet verschiedene Methoden, um sich über anstehende und neu veröffentlichte Sicherheitsaktualisierungen zu informieren. So können Sie sich zum Beispiel per E-Mail neu veröffentlichte Sicherheitsupdates melden lassen. Als bevorzugter Drupal Dienstleister wissen wir, dass im Vergleich zu anderen Systemen wie WordPress der Update-Prozess mit Drupal deutlich sicherer und zuverlässiger ist, da Updates einzelner Module deutlich besser zusammenspielen. Bei anderen Systemen können bei einfachen Updates schnell Probleme auftreten und Fehler verursachen. Dies funktioniert bei Drupal deutlich besser.
Welche Faktoren sind für die Drupal Sicherheit im Wartungsprozess besonders wichtig?
Befindet sich Ihr System im Wartungsmodus, steigt die Wahrscheinlichkeit von Sicherheitsproblemen. Um diese zu minimieren, müssen Sie Gegenmaßnahmen einleiten. Dabei sollten Sie sich auf die folgenden drei Hauptfaktoren besonders konzentrieren:
1. Sichern Sie die Konfiguration durch strikte Zugriffskontrolle ab
Um Ihre Seiten-Konfiguration bestmöglich zu schützen, spielen die Zugriffsrechte eine wichtige Rolle. Einflussreiche Zugriffe sollten Sie dabei nur vertrauenswürdige Nutzer erhalten. Achten Sie hier auf eine schützende Zwei-Faktor-Authentifizierung oder entsprechend sichere Passwörter. Beschränken Sie dagegen die Zugriffsrechte für weniger vertrauenswürdigen Nutzer-Rollen. Auf diese Weise stellen Sie sicher, dass Sie mit Ihrer Seiten-Konfiguration keine neuen Sicherheitslücken einführen.
2. Sichern Sie den Code Ihrer Drupal Core Version und der Module
Stellen Sie sicher, dass Ihre Drupal Core Version sowie alle genutzten Module zuverlässig arbeiten und die bekannten Sicherheitsmängel bereits eliminiert wurden. Dazu gehört auch eine sorgfältige Prüfung von benutzerdefinierten Modulen oder Themes im Hinblick auf Sicherheitsmängel. Hierbei bieten Ihnen verschiedene Tools eine wertvolle Unterstützung. Besonders beliebt und auch empfehlenswert sind zum Beispiel der Python-basierte Security-Scanner Droopescan und der Online Drupal Schwachstellen-Scanner Pentest-Tools. Mithilfe dieser Tools lassen sich Versionen, Kerndateien Themes, Plugins, Konfigurationen und spezielle URLs (Admin, Changelog, Readme etc.) umfassend auf Sicherheitslücken hin überprüfen. Alternativ können Sie auch auf die Tools Drupwn, Acunetix, Sqreen oder Detectify zurückgreifen.
3. Sichern Sie den Server
Besonders wichtig sind auch die Sicherheitsfeatures hinsichtlich des genutzten Servers. Hier kommt es darauf an, dass Sie HTTPS nutzen und sämtliche auf das Betriebssystem bezogene Sicherheitsupdates heruntergeladen sind. Achten Sie auch auf die korrekten Zugriffsrechte. So sollten Sie zum Beispiel auf jeden Fall verhindern, dass ausführbare Code-Dateien nicht von Webserver-Nutzern verändert bzw. geschrieben werden können. Das verhindern Sie, indem Sie die Erlaubnis in den Konfigurationseinstellungen blockieren. Ratsam ist es zudem, einen professionellen Hosting-Dienst zu nutzen. Das erleichtert die Sicherheit des Servers und damit auch die allgemeine Drupal Sicherheit.
Mit diesen einfachen Maßnahmen verbessern Sie die Drupal Sicherheit
Wenn Sie die Sicherheit Ihrer Drupal-Website verbessern möchten, können Sie auf verschiedene Maßnahmen zurückgreifen. Im Folgenden haben wir für Sie die wichtigsten Best Practice Lösungen aufgelistet. Diese dienen Ihnen als Orientierungshilfe für die Optimierung der Drupal Sicherheit.
Bild
Limitieren von Registrierungs- und Anmeldevorgang
Die Grundeinstellung von Drupal erlaubt es, Spam-Beiträge in die Datenbank zu schreiben. Das können Sie verhindern oder zumindest begrenzen, indem Sie den Registrierungs- und Anmeldevorgang limitieren. Sie haben dabei auch die Möglichkeit, die Pfade zu ändern. Alternativ schalten Sie die Möglichkeit komplett ab. Ratsam ist es zudem, für einen bestimmten Zeitraum die Anzahl der Anmeldeversuche über dieselbe IP-Adresse zu begrenzen.
Rollensystem und Zugriffsrechte sorgfältig festlegen
Besonders sorgfältig müssen Sie auch bei der Gewährung von Zugriffsrechten vorgehen. Beispielsweise sollte PHP-Code nur von erfahrenen Entwicklern bearbeitet werden dürfen. Gegebenenfalls deaktivieren Sie für Ihre Website den PHP-Filter komplett. Richten Sie Ihren Blick zudem auch immer auf die Rechte zur Veröffentlichung zur Registrierung, User-Ansicht sowie Kommentaren. Einen unerwünschten Zugriff auf Dateien können Sie dabei in .htaccess beschränken. Auf diese Weise verhindern Sie, dass ein Angreifer auf wichtige Dateien wie authorize.php, install.php, upgrade.php oder zum Beispiel auch cron.php Zugriff erlangt.
Datenbank gezielt sichern
SQL-Angriffe gehören beinahe schon zum Standard. Bestimmte Angriffsformen können Sie aber deutlich erschweren. So können Sie beispielsweise Tabellennamen gegen ein selbstgewähltes Prefix austauschen. Das lässt sich sowohl direkt bei der Installation als auch später im Rahmen der Advanced Options realisieren. Vergeben Sie anstelle des Standardnamens zum Beispiel ein Prefix wie mr0765f_, reduzieren Sie deutlich die Wahrscheinlichkeit, dass ein Angreifer diesen Namen errät. Um zusätzlichen Schutz zu implementieren, sollten Sie immer auch auf eine starke Datenbankverschlüsselung setzen. Starke Passwörter lassen sich bei Drupal dabei in Verbindung mit bestimmten Parametern (Ablauf, Länge etc.) verschlüsseln.
Deaktivieren der Fehlermeldungen
Unter Configuration/ Development/ Logging and Errors können Sie über die Drupal-Adminoberfläche Fehlermeldungen deaktivieren. Dafür müssen Sie Error Reports auf None setzen. Das ist wichtig, um möglichen Angreifern keine wichtigen Informationen über Ihr System zu verraten. Gerade Fehler des Typs 500 können ansonsten möglicherweise für Denial of Service Angriffe genutzt werden. Sie können auch Module wie beispielsweise Disable Messages installieren. Diese geben Ihnen die Möglichkeit, Fehlermeldungen zu filtern. Als Parameter hierfür können Sie etwa bestimmte Usergruppen oder Fehlertypen auswählen.
Nähere Informationen zu unseren Leistungen als Drupal Agentur.