Drupal, несмотря на свою "бесплатность" - это CMS с высоким уровнем безопасности, потому соблюдение даже обычных мер предосторожности защитит Ваш сайт от опасности.
Мы часто получаем от наших потенциальных Заказчиков вопросы, связанные с безопасностью CMS Drupal. Во многом такой интерес к проблеме вызван тем фактом, что Drupal - бесплатная CMS, а все бесплатное - особенно в странах СНГ - по умолчанию подвигается сомнению. Мы уже несколько лет работаем исключительно на Drupal и - как опытные разработчики сайтов недвижимости на нем - готовы поделиться нашими наработками по вопросу Drupal-безопасности.
Итак, в первую очередь:
1. В разработке используйте стабильные версий ядра и модулей Drupal.
2. Вход в панель управления сайтом стоит настроить через SSL (настройка на хостинге).
3. Ограничьте доступ сотрудников агентства по IP.
4. Измените стандартный для Drupal вход для зарегистрированных пользователей (по /user).
5. Минимальную длину пароля любого пользователя установите - 6 символов
6. Настройте уведомление о входе администратора с другого IP , если есть такая необходимость
7. Осуществляйте проверку/фильтрацию всех вводимых данных на предмет скриптов, XSS (Например через HTML Purifier)
8. Организуйте защиту от копирования данных на сайте и контактов в базе – защиту от выделения и копирования скриптом
9. Обеспечьте еженедельную принудительную смену паролей сотрудников, которые пользуются интранет-системой или личными кабинетами
10. Настройте уведомления о скачивании, удалении контактов и объектов менеджерами
Выполнение этих требований при разработке сайта и дальнейшем его использовании даст высокую гарантию защиты Вашего сайта от атак. Но, 100% гарантии, что Ваш сайт не будет взломан, к сожалению, не даст Вам никто. Поэтому вопрос безопасности сайта должен быть всегда на контроле, в числе приоритетных - не только в момент разработки сайта, но и всегда.
