Drupal 网站漏洞修复以及网站安全防护加固方法

drupal是目前网站系统使用较多一个开源PHP管理系统，架构使用的是php环境+mysql数据库的环境配置，drupal的代码开发较为严谨，安全性较高，但是再安全的网站系统，也会出现网站漏洞，drupal是网站运行访问必不可少的一个分支，为了网站的安全，不被攻击者攻击，我们要对网站以及服务器进行全面的安全加固与安全设置，包括我们服务器安全设置，web安全设置，php环境安全设置，msyql数据库安全设置，都要详细的安全加固好，才能保障整个网站的安全稳定运行。

关于目前出现的drupal漏洞，我们都要对其进行漏洞修复，以及网站安全加固与安全防护，对于如何修复drupal漏洞，我们应该从最基础的代码安全入手，我们应该从下面的几个点开始：

从哪里来就应该到哪里去，从最基础的代码入手，大多数的网站使用的drupal系统开发的，基本都会适用于下列的几种情况，使用大多数网站运营者的一个社区开发的安全解决方案，可以对drupal系统进行更好维护与升级，检查drupal的版本为最新，完整。尽量的使用系统默认的配置以及代码，不要找第三方网站开发公司进行开发与设计，默认的一些安全属性不要去碰，只有再不得已的情况下才开启权限，默认是不能开启。网站的运行权限避免使用root管理员权限，使用普通的账号权限去运行。定期对网站的系统进行安全检测与安全维护，对一些特殊的文件代码进行对比，经常的安全备份代码。对于数据库的备份要做到每天一份，尽可能的把损失降到最低。服务器的IP可以使用CDN加速，来隐藏网站的真实IP，避免遭受到流量攻击。

drupal服务器方面的安全部署，应该从以下几点开始设置，包括ssh端口的修改，使用iptables来限制端口的放行，linux系统都会使用root的超级管理员账号，一些入侵者都会对服务器进行暴力破解，用弱密码尝试进行登录服务器，对服务器的端口进行更改，把默认的22端口改为一些不常见的端口，还有一个就是尝试登录失败的次数如果超过10次就禁止该IP登录，需要配置linux服务器的sshd_config文件。修改root的管理员账号密码为12位以上，数字+大小写字母+特殊字符组合。

1.使用iptables端口安全设置，对常用的网站80端口，21端口，SSH端口进行开放。杜绝任何IP连接服务器的其他端口。像mysql数据库的端口也要禁止掉，不要对外开放，只允许本地数据库调用。

2.网站文件夹的权限设置，网站文件权限设置为非root权限账户进行允许，对于网站的目录只有普通账户以及root账户才有修改权限，普通权限的账号无法对服务器的系统目录进行修改，查看，写入。

3.删除一些不常用的web服务器组件与插件，尽可能的缩减到最少，这样才是最安全的。对网站的访问方式启用https,SSL绿色证书访问模式，加强网站的加密方式，用户输入的账号密码，以及注册的资料，都会以SSL加密的方式进行传输，保障用户的数据安全。

4.drupal的代码文件权限设置一下，将配置文件settings.php设置为只读权限，包括模块文件夹，以及模板文件夹，都设置为只读，如果需要更改就开放只读权限，对于一些drupal使用到的缓存文件夹，以及session文件都需要开发写入权限，去掉脚本PHP执行权限。

5.drupal的网站漏洞修复，检查官网的补丁升级，以及最新版本，后台可以更新到最新版本，以及单独的漏洞补丁包到官方网站去下载，经常去检查，去查看。关于durpal数据库的安全部署我们放到下一篇文章里去讲，先让大家消化一下，安全也不是一下子就能做好的，需要慢慢消化，积累到自己的安全经验中去。