如何分析Drupal配置

今天就跟大家聊聊有關(guān)如何分析Drupal配置，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

Drupal配置

Drupal是一個(gè)開源的PHP內(nèi)容管理系統(tǒng)，具有相當(dāng)復(fù)雜的架構(gòu)。它還具有強(qiáng)大的安全模型。感謝開發(fā)人員在社區(qū)的貢獻(xiàn)和維護(hù)，所以有很多詳細(xì)的文檔和有關(guān)加強(qiáng)Drupal網(wǎng)站安全配置的方法。

切記，Drupal是運(yùn)行網(wǎng)站所需的一部分。為了保護(hù)整個(gè)系統(tǒng)免受黑客攻擊，我們需 要處理整套系統(tǒng)。它包括一些常見的服務(wù)器設(shè)置，Web服務(wù)器的配置，PHP和數(shù)據(jù)庫(kù)。此外，服務(wù)器上的任何其他服務(wù)都需要正確配置。

它提供了一些提示和關(guān)鍵點(diǎn)，可以幫助服務(wù)器和網(wǎng)站管理員審核整個(gè)系統(tǒng)的安全性。我們應(yīng)該明白，打造一個(gè)絕對(duì)安全的系統(tǒng)是不可能的，但如果你堅(jiān)持一些原則，它將有助于你的系統(tǒng)安全。

安全原則

讓我們從常見的安全守則開始。它們中的大多數(shù)不僅適用于Drupal開發(fā)并且支持Drupal網(wǎng)站運(yùn)行基礎(chǔ)設(shè)施的相關(guān)安全性，而且還適用于許多其他情況：

• 使用由一個(gè)擁有大量用戶群體的社區(qū)開發(fā)的解決方案。它可以很好地維護(hù)開源庫(kù)，流行的Linux發(fā)行版等等。始終檢查下載代碼的完整性。

• 遵循最小原則，盡量不使用任何其他服務(wù)。如果你真的需要它，請(qǐng)安裝新軟件，卸載所有不需要的服務(wù)。

• 避免編寫自定義代碼。在開始之前，請(qǐng)仔細(xì)考慮是否可以避免這種情況。與Drupal開發(fā)相關(guān)的真實(shí)情況是在編寫自定義模塊之前在drupal.org上搜索現(xiàn)成的解決方案。

• 默認(rèn)拒絕訪問。只有在必要時(shí)，才應(yīng)授予相關(guān)的訪問權(quán)限。

• 添加具有所需權(quán)限的角色。每個(gè)角色都必須有詳細(xì)記錄。這樣，應(yīng)該很容易支持和擴(kuò)展整個(gè)權(quán)限框架。

• 不要使用root權(quán)限。在基于Linux的操作系統(tǒng)上，僅在需要時(shí)使用root訪問權(quán)限，并通過sudo執(zhí)行此操作。換句話說，你不應(yīng)該以root用戶身份登錄和運(yùn)行。

• 定期對(duì)系統(tǒng)進(jìn)行安全檢查和維護(hù)。你應(yīng)仔細(xì)分析所有可疑情況并對(duì)其作出分析。

• 備份！你必須始終能夠?qū)⑾到y(tǒng)還原為以前的任何狀態(tài)。此外，你需要確保系統(tǒng)進(jìn)行有效可以用的備份。

• 在服務(wù)器進(jìn)行適當(dāng)?shù)陌踩S護(hù)之前，請(qǐng)勿暴露在公網(wǎng)上。

這些原則可以應(yīng)用于任何系統(tǒng)和服務(wù)，無(wú)論它使用何種軟件和硬件。我們進(jìn)一步討論更具體的關(guān)鍵點(diǎn)。

重要的安全維護(hù)對(duì)象：

除了運(yùn)行網(wǎng)站的Drupal之外，還需要配置PHP，Web服務(wù)器和數(shù)據(jù)庫(kù)。你可能還需要安裝一些服務(wù)插件來(lái)擴(kuò)展搜索功能，使用緩存等。  

如你所見，有很多事情需要正確配置和定期維護(hù)?；谏鲜龅那闆r，我們可以在一定程度上區(qū)分以下需要確保安全性的服務(wù)：

• 服務(wù)器（常用的配置）

• Web服務(wù)器

• PHP

• 數(shù)據(jù)庫(kù)

• Drupal

服務(wù)器（常用設(shè)置）

互聯(lián)網(wǎng)上可用的任何服務(wù)的安全性始于服務(wù)器的基本配置。對(duì)于基于Linux的服務(wù)器，它可以使用以下的配置方法：

• 改變遠(yuǎn)程登陸的配置

• 使用iptables設(shè)置防火墻

  改變遠(yuǎn)程登陸的配置

通過更改登錄到服務(wù)器的配置，。主要目標(biāo)是使這個(gè)過程與一般默認(rèn)的過程有所區(qū)別。

例如，任何Linux的系統(tǒng)都有一個(gè)名為root的超級(jí)用戶。攻擊者可以通過ssh等爆破root的默認(rèn)密碼。但是，如果服務(wù)器管理員關(guān)閉root登錄，則此類嘗試將失敗。我們可以創(chuàng)建一個(gè)新用戶，而不是root用戶，然后授予他必要的權(quán)限。

大多數(shù)這個(gè)的更改都與ssh設(shè)置有關(guān)。它們通常位于/etc/ssh/ sshd_config文件中。相關(guān)配置：

Port 2345Protocol 2PermitRootLogin noPasswordAuthentication noUseDNS noAllowUsers user

它允許使用有效的用戶名通過ssh連接到服務(wù)器使用2345端口（非默認(rèn)，默認(rèn)22）。它還會(huì)禁用root登錄和密碼身份驗(yàn)證。

禁用密碼驗(yàn)證是提高整個(gè)系統(tǒng)安全性的重要步驟。無(wú)密碼身份驗(yàn)證更安全。要登錄服務(wù)器，你需要在本地計(jì)算機(jī)上生成ssh密鑰，然后將公鑰復(fù)制到服務(wù)器。安全性更高。

使用iptables設(shè)置防火墻

iptables是Linux系統(tǒng)的默認(rèn)防火墻。它可用于管理與指定端口的連接。如果我們想將網(wǎng)站保留在服務(wù)器上，除了ssh端口之外，還需要打開http和/或https端口。

默認(rèn)情況下，操作系統(tǒng)上沒有建立規(guī)則。敲sudo iptables -L命令（Ubuntu）將返回以下內(nèi)容：

  Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

這意味著服務(wù)器接受來(lái)自任何端口上任何人的任何內(nèi)容（策略默認(rèn)ACCEPT）。我們可以只打開必要的端口并關(guān)閉其他沒必要的端口。

sudo iptables -A INPUT -p tcp --dport 2345 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

這些命令是 接受2345，80和443端口的連接。盡管如此，我們?nèi)匀粵]有其他端口的其他限制。因此，你需要在最后添加一條規(guī)則，拒絕所有不需要的數(shù)據(jù)包。

  sudo iptables -A INPUT -j DROP

就這樣。應(yīng)該記住，上面的配置可能會(huì)你使用不同的系統(tǒng)而有很大差異。這里的主要目標(biāo)只是對(duì)基本原則的解釋。更改網(wǎng)絡(luò)配置時(shí)要小心?。?！有時(shí)，你一不小心 它就拒絕任何連接。比如你不小心drop了你的ssh端口，2333。

Web服務(wù)器

設(shè)置Web服務(wù)器的一些一般原則。使用這些規(guī)則對(duì)于你的網(wǎng)站運(yùn)行非常重要。通過服務(wù)器的漏洞，攻擊者可以任意執(zhí)行文件，上傳惡意腳本并以某種騷操作運(yùn)行這些腳本。

能夠訪問運(yùn)行的網(wǎng)站文件

主要的原則就是 網(wǎng)站文件應(yīng)該由非root用戶運(yùn)行，并且不應(yīng)該由Web服務(wù)器寫入（敲黑板，劃重點(diǎn)?。?。在一些情況下，Drupal目錄可供Web服務(wù)器用戶寫入，有關(guān)保護(hù)文件權(quán)限和所有權(quán)的詳細(xì)信息，請(qǐng)看本文末尾的“相關(guān)鏈接”。

限制對(duì)Web服務(wù)器的某些功能的訪問

有時(shí)，限制在Web服務(wù)器對(duì)網(wǎng)站的一些功能的訪問可能是有用的。例如，在你擁有演示網(wǎng)站或沒有注冊(cè)功能的網(wǎng)站的情況下。你可以限制/user和/admin/ *。對(duì)于Apache Web服務(wù)器，可以使用mod_authz_host和mod_rewrite模塊完成。切記，http身份驗(yàn)證不是一種安全的方法。因此，所描述的方法在特定情況下更適用。

刪除不使用的Web服務(wù)器插件

服務(wù)器上的所有其他服務(wù)都存在潛在的安全風(fēng)險(xiǎn)。因此，你應(yīng)該遵循最小化原則。如果你不需要什么，只需將其刪除即可。

這同樣適用于Web服務(wù)器。Apache和Nginx Web服務(wù)器有許多額外的插件，仔細(xì)檢查已啟用的擴(kuò)展名列表，并刪除所有未使用的擴(kuò)展名。

使用HTTPS

使用HTTPS協(xié)議可以使網(wǎng)站和私人用戶數(shù)據(jù)的訪問更加安全。如今，當(dāng)一些在線商店不對(duì)他們的支付交易使用加密，這是絕對(duì)不對(duì)的。而且，Google已經(jīng)將HTTPS設(shè)置為排名指標(biāo)。這意味著不使用HTTPS協(xié)議但還是能運(yùn)行的網(wǎng)站，一些重要信息（信用卡，支付交易等）會(huì)對(duì)搜索排名產(chǎn)生負(fù)面影響。

理想情況是，如果你為與用戶進(jìn)行交互的所有網(wǎng)站加密。例如說登錄和注冊(cè)。用戶輸入密碼。即使這些密碼在所有瀏覽器中看起來(lái)都不可見（如**），它們也會(huì)以未加密的形式通過網(wǎng)絡(luò)傳遞。因此，攻擊者可以通過中間人方式等輕松攔截輸入的數(shù)據(jù)。用戶通常都是使用常用密碼。這意味著也可能會(huì)影響你在對(duì)別的網(wǎng)站的賬號(hào)。

HTTP認(rèn)證

應(yīng)該清楚在什么情況下可以使用HTTP身份驗(yàn)證。大多數(shù)情況下，你需要它來(lái)保護(hù)對(duì)網(wǎng)站的緩存并禁用爬蟲對(duì)該網(wǎng)站的索引。但是，HTTP身份驗(yàn)證本質(zhì)上是不安全的。它不使用任何加密算法。因此，瀏覽器和網(wǎng)站之間的流量不會(huì)被加密，攻擊者只需復(fù)制可以用的HTTP頭并將數(shù)據(jù)包其發(fā)送到Web服務(wù)器即可訪問網(wǎng)站。

此外，強(qiáng)烈建議將htpasswd文件保留在文檔根目錄之外。設(shè)置此文件的只讀權(quán)限（440）。

PHP

PHP與服務(wù)器的其他服務(wù)一樣可能包含漏洞。這在很大程度上取決于PHP本身的設(shè)置以及當(dāng)前使用的PHP版本。當(dāng)然，你始終需要檢查所有可用的更新并保持PHP更新。但是，在某些情況下，這可能非常困難甚至是不可能的。

一般來(lái)說，優(yōu)化服務(wù)器上PHP安全性的所有工作可以分為三個(gè)部分：

• 定期更新PHP版本

• 避免使用不安全的代碼，功能等

• 優(yōu)化PHP設(shè)置

  定期更新PHP版本

  這是比較容易理解的事情，但正如我所提到的，在某些情況下，更新可能非常困難甚至是不可能的。當(dāng)你的應(yīng)用程序中有很多祖?zhèn)鞔a（它在新的PHP版本中不起作用）并且當(dāng)前的業(yè)務(wù)不允許你花時(shí)間更新這段代碼時(shí)就會(huì)主要，因?yàn)樗呛芎馁M(fèi)時(shí)間的操作。在這種情況下，你可以嘗試使用下面的一些建議。

  避免使用不安全的代碼

  編寫安全代碼是服務(wù)器安全的重要一步。你應(yīng)該花一些時(shí)間定期查看你所有自定義代碼。此外，沒有人可以保證第三方庫(kù)不包含任何漏洞。正如我所提到的，即使PHP本身也存在安全性問題（使用不安全的函數(shù)，緩沖區(qū)溢出等）。

  為了解決這些問題，有一個(gè)很好的玩意叫做Suhosin，它可以幫助你擺脫許多安全問題。Suhosin旨在保護(hù)服務(wù)器和用戶免受PHP和PHP核心中已知和未知的缺陷的影響。它由兩部分組成。第一部分是PHP核心的補(bǔ)丁，它提供了一些針對(duì)緩沖區(qū)溢出或格式化字符串漏洞的低級(jí)保護(hù)。第二部分是PHP擴(kuò)展，它實(shí)現(xiàn)了一些額外的保護(hù)。

  Suhosin是一個(gè)非常強(qiáng)大的工具，可以保護(hù)你的服務(wù)器免受許多漏洞的侵害。蛋疼的是，它不適用于PHP7.事實(shí)上，Suhosin7 正在開發(fā)，但還沒有完成。作者不建議在生產(chǎn)服務(wù)器上使用Suhosin7。

  優(yōu)化PHP設(shè)置

  為優(yōu)化PHP安全配置，我們可以采取的兩個(gè)最簡(jiǎn)單的步驟是禁用未使用的模塊，并最大限度地減少用戶可以獲得的有關(guān)當(dāng)前PHP安裝的信息。

  要查看所有已編譯的PHP模塊，請(qǐng)運(yùn)行以下命令：

  $ php -m

  建議僅使用必要的模塊來(lái)提高安全性。仔細(xì)檢查整個(gè)列表哪些是你不需要的模塊。刪掉吧。

  保護(hù)PHP免受黑客攻擊還要隱藏有關(guān)系統(tǒng)的信息?？纯磒hp.ini文件中的這個(gè)配置：

  expose_php = Off

  確保此參數(shù)配置。否則，PHP將發(fā)送版本號(hào)到X-Powered-Byhttp頭中的。

  同樣適用于網(wǎng)站上的PHP報(bào)錯(cuò)。他們可以提供有關(guān)你的服務(wù)器的一些額外信息（Web服務(wù)器版本，目錄結(jié)構(gòu)等）。因此，強(qiáng)烈建議在生產(chǎn)服務(wù)器上禁用此功能。

display_errors = Off log_errors = On error_log = /var/log/httpd/php_scripts_error.log

上面的設(shè)置允許你關(guān)閉顯示網(wǎng)站發(fā)生的報(bào)錯(cuò)。此外，它們還會(huì)將錯(cuò)誤記錄到指定的日志中。

這些是初步步驟，可以幫助你提高在服務(wù)器上使用PHP的安全性，即使沒有對(duì)系統(tǒng)進(jìn)行任何重大修改?，F(xiàn)在讓我們談?wù)勀憧梢蕴砑拥絇HP配置（php.ini文件）的一些特定配置：

file_uploads = Off #禁用文件上傳

但是如果需要文件上傳的功能，最好限制文件大小。

file_uploads = on upload_max_filesize = 1M

2.控制系統(tǒng)資源

max_execution_time = 30 
max_input_time = 30 
memory_limit = 50M

你可以指定每個(gè)腳本的最長(zhǎng)執(zhí)行時(shí)間，最大內(nèi)存量和最大數(shù)據(jù)讀取時(shí)間。

3.關(guān)閉允許腳本包含其他URL的PHP函數(shù)

allow_url_include = Off allow_url_fopen = Off

如果啟用了allow_url_fopen，PHP可以使用文件函數(shù)，例如file_get_contents。有了它，PHP可以從遠(yuǎn)程服務(wù)器下載文件。

4.禁用危險(xiǎn)功能

 disable_functions =exec，passthru，shell_exec，system，proc_open，popen，curl_exec，curl_multi_exec，parse_ini_file，show_source

在禁用之前，請(qǐng)確保你的網(wǎng)站不需要其中任何一個(gè)函數(shù)。

5.限制對(duì)文件的訪問權(quán)限

open_basedir =“/var/www” #允許訪問的目錄

該open_basedir的配置允許你設(shè)置在PHP可以使用函數(shù)訪問文件的目錄如fopen，file_get_contents等。如果該文件是在這個(gè)目錄之外，PHP將拒絕打開它。

6.臨時(shí)路徑

session.save_path =“/tmp”

確保臨時(shí)路徑位于網(wǎng)站根目錄之外。此外，它不能被其他系統(tǒng)用戶讀取或?qū)懭搿?/p>

數(shù)據(jù)庫(kù)

采取什么措施來(lái)確保數(shù)據(jù)庫(kù)安全性主要取決于應(yīng)用程序的基礎(chǔ)結(jié)構(gòu)。例如，Drupal的數(shù)據(jù)庫(kù)抽象層使你能夠在不同的數(shù)據(jù)庫(kù)之間進(jìn)行選擇。它可以是MySQL，SQLite或PostgreSQL。此外，Drupal支持流行的MySQL分支，例如MariaDB和Percona。你應(yīng)該了解每個(gè)系統(tǒng)可能有不同的安全規(guī)范。

還取決于你安置數(shù)據(jù)庫(kù)的位置。最簡(jiǎn)單的（在安全性方面）是在擁有網(wǎng)站的同一臺(tái)服務(wù)器上安裝數(shù)據(jù)庫(kù)。但是，這種方法可能會(huì)影響整個(gè)系統(tǒng)的性能，因此服務(wù)器管理員可能決定在另外的服務(wù)器上安裝數(shù)據(jù)庫(kù)（站庫(kù)分離）。對(duì)于高負(fù)載應(yīng)用尤其如此。

完成服務(wù)器環(huán)境配置后，你應(yīng)該做的第一件事是檢查你的架構(gòu)是否足夠強(qiáng)大，并且不容易被DoS攻擊破壞。事實(shí)上，即使在其工作負(fù)載的高峰期，服務(wù)器也應(yīng)該有一些資源儲(chǔ)備。

正如我之前提到的，數(shù)據(jù)庫(kù)安全性設(shè)置的具體情況具體取決于所選的數(shù)據(jù)庫(kù) 在本文中，我們來(lái)看一些一般性措施：

• 數(shù)據(jù)庫(kù)訪問
  如果數(shù)據(jù)庫(kù)是在本地安裝的，則可以禁用從網(wǎng)絡(luò)訪問它。如果你的數(shù)據(jù)庫(kù)位于單獨(dú)的服務(wù)器上，則應(yīng)該可以設(shè)置它將偵聽的IP地址。如果在Web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間共享LAN，則僅設(shè)置LAN IP地址（無(wú)法通過Internet訪問）?？梢酝ㄟ^編輯my.conf文件來(lái)完成。下面是為數(shù)據(jù)庫(kù)和網(wǎng)站使用相同服務(wù)器時(shí)的配置示例。
  bind-address=127.0.0.1

• 數(shù)據(jù)庫(kù)，用戶和權(quán)限

查看數(shù)據(jù)庫(kù)，用戶和權(quán)限，以查找任何安全的缺陷。不要為用戶提供超出實(shí)際需要的權(quán)限

• PHPMyAdmin和類似工具，確保在使用完后禁用圖形工具再使用數(shù)據(jù)庫(kù)。如果你打算繼續(xù)使用這些工具，請(qǐng)嘗試盡可能難以訪問它們。例如，你可以通過.htaccess限制對(duì)PHPMyAdmin的訪問，并通過白名單允許從某些可信IP地址進(jìn)行訪問。此外，你可以嘗試使用MySQL Workbench等本地工具，而不是使用Web類型的。

Drupal

Drupal有一個(gè)非常復(fù)雜的架構(gòu)。為了確保這個(gè)復(fù)雜系統(tǒng)的安全性，最好將所有相關(guān)工作分成小部分。在此操作期間，你將遇到僅需要執(zhí)行一次的配置（設(shè)置文件權(quán)限，配置settings.php文件等）。將會(huì)有一些需要定期關(guān)注的任務(wù)（更新Drupal和模塊）。也許其他人會(huì)要求你與Drupal社區(qū)密切合作。

以下是你應(yīng)該記住的兩個(gè)關(guān)鍵時(shí)刻：

確保Drupal安全并不是一件容易的事情，但它對(duì)任何網(wǎng)站都非常重要。所以，你一定要努力做到這一點(diǎn)。安全需要你用心的關(guān)注。

文件

確保Web服務(wù)器對(duì)Drupal文件沒有寫入權(quán)限。只有緩存文件，上傳，session和臨時(shí)目錄才需要寫入權(quán)限。以下命令授予對(duì)公共文件目錄（Ubuntu或者 Debian）的寫權(quán)限：

$ chown -R www-data：www-data sites / default / files

如果你的網(wǎng)站允許上傳文件，請(qǐng)注意如何確保使用這些文件的過程。僅允許上傳某些文件類型。相對(duì)安全的是文本文件和圖片。但是，這并沒有改變用戶可以上傳惡意代碼的事情，例如具有.jpg或.txt擴(kuò)展名的文件。要避免此問題，你可以嘗試安裝ClamAV模塊，該模塊可以掃描上傳的文件以查找病毒和其他惡意代碼。

settings.php

初始安裝后，請(qǐng)確保settings.php文件沒有寫入權(quán)限。有關(guān)此信息可在相關(guān)公告（admin/reports/status in Drupal 8）中找到。

在settings.php中，你可以設(shè)置一個(gè)重要選項(xiàng)，以防止特殊的攻擊（https://www.drupal.org/node/1992030）。這種類型的攻擊稱為HTTP POST Header攻擊。為了保護(hù)Drupal 7網(wǎng)站免受他們的影響，請(qǐng)?jiān)谀愕脑O(shè)置中添加基本URL參數(shù)：

$ base_url ='http://www.example.com';

Drupal 8中類似的配置是：

$settings['hash_salt'] = file_get_contents('/home/example/salt.txt');

錯(cuò)誤日志

Drupal提供了一種監(jiān)控網(wǎng)站狀態(tài)的機(jī)制。這里我的意思是最近的日志消息和報(bào)告。嘗試定期檢查這些日志并修復(fù)發(fā)現(xiàn)的問題。報(bào)告非常有用，尤其是在安裝網(wǎng)站后。例如，如果你忘記添加可信主機(jī)設(shè)置或者對(duì)settings.php文件具有寫訪問權(quán)限，它可以通知你。

只需查看“最近的日志消息”頁(yè)面，即可跟蹤某些類型的可疑活動(dòng)。舉一個(gè)例子，想象一下當(dāng)你注意到新用戶注冊(cè)激增時(shí)的情況。

不要忘記禁用PHP錯(cuò)誤的回顯。普通用戶不應(yīng)該看到它們。雖然你可能會(huì)在“最近的日志消息”頁(yè)面上看到這些錯(cuò)誤，但請(qǐng)記住它不會(huì)捕獲所有PHP錯(cuò)誤。因此，有時(shí)請(qǐng)檢查你的服務(wù)器日志文件。

Drupal核心和貢獻(xiàn)模塊的變化

這部分是關(guān)于Drupal核心和貢獻(xiàn)模塊的黑客攻擊。實(shí)際上，一個(gè)眾所周知的事實(shí)是，新開發(fā)人員可能會(huì)偷工減料并將他們的代碼或一些更改直接放入Drupal核心或已安裝的貢獻(xiàn)模塊中。這可能會(huì)導(dǎo)致Drupal本身的不可預(yù)測(cè)行為，以及漏洞的出現(xiàn)，或者惡意存放后門。

為了擺脫這些問題，我建議使用Hacked！模塊。該模塊掃描當(dāng)前安裝的Drupal，貢獻(xiàn)的模塊和主題，并將所有內(nèi)容與drupal.org中的相應(yīng)版本進(jìn)行比較。如果你安裝了Diff模塊，請(qǐng)使用Hacked！會(huì)告訴你有什么放生了改變。這讓hacked！模塊是任何網(wǎng)站寶貴的分析工具。

用戶和權(quán)限

Drupal具有直觀且可自定義的權(quán)限模型。權(quán)限是此類系統(tǒng)中最簡(jiǎn)單的元素。一組權(quán)限可以按角色類型分組。然后可以將此角色類型分配給特定用戶。在更新Drupal核心和貢獻(xiàn)模塊期間可能會(huì)出現(xiàn)新的權(quán)限和角色類型。你應(yīng)定期檢查（例如更新后）為你的網(wǎng)站上的每個(gè)用戶分配的角色類型以及這些角色類型中包含的權(quán)限。嘗試最小化每個(gè)角色中包含的權(quán)限。不要為用戶提供超出實(shí)際需要的權(quán)限。

一個(gè)好的配置是使用非默認(rèn)用戶名（例如不是admin或root），因?yàn)楹诳蛯⑹紫葒L試默認(rèn)的用戶名。為了更高的安全性，甚至可以完全禁用管理員帳戶。

另一件好事是檢查你網(wǎng)站上的用戶活動(dòng)并鎖定非活躍帳戶。用戶過期模塊提供了定義特定用戶帳戶將被鎖定的功能。此外，它可以鎖定在一段時(shí)間內(nèi)處于非活躍狀態(tài)的帳戶。

看完上述內(nèi)容，你們對(duì)如何分析Drupal配置有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。