Drupal在全球拥有数百万用户，是开源CMS平台的市场领导者。组织正在使用这个平台来实现灵活的架构、实施速度、数字创新、大量免费提供的社区代码和可扩展性，而不必担心软件供应商锁定。此外，Drupal的每一个核心战略举措都包括API优先、工作流和媒体，使Drupal更具雄心。

在这个数字环境中，每个企业都担心安全漏洞。内置的Drupal安全功能有助于减轻这种担忧，但任何使用Drupal的企业都必须采取一些额外的步骤来完全保护其CMS并使其符合客户的需求。对于受PCIDSS、HIPAA等合规性框架约束的组织来说尤其如此。有效保护Drupal需要了解Drupal安全最佳实践以安全地维护它。

与其他CMS平台相比，Drupal享有安全CMS的美誉。拥有积极开发Drupal安全模块的安全开发团队，即时识别、发布并解决安全问题。此外，开源还有助于Drupal缓解安全问题，因为任何人都可以检查其源代码中的漏洞并突出显示修复程序。

尽管如此，Drupal安全漏洞确实在演变，远程代码执行攻击是风险最高的攻击之一。在这次攻击中，黑客在托管DrupalCMS的受害系统上执行恶意软件。Drupalgeddon2和drupalgeddon3是利用Drupal7和8中的远程代码执行漏洞的两个主要攻击。此Drupal漏洞已于2018年修复。Drupal中的其他常见漏洞包括允许对内容进行授权访问的访问绕过漏洞和允许攻击者禁用Drupal网站的DoS（拒绝服务）漏洞。

要遵循的顶级Drupal安全最佳实践

1.查您的用户角色并阻止访问权限

Drupal提供多个用户和角色，如管理员、经过身份验证的用户、编辑者、匿名用户等。一旦安装Drupal或添加更多模块，您就可以手动为每个角色分配和授予权限。为保护网站，行使正确的角色和文件权限，如读取、写入和修改。例如，匿名用户应该拥有最少的权限，如只读。

如果权限松散，这可能允许入侵者访问您的敏感文件。还建议阻止对重要文件的访问，例如upgrade.php文件、authorize.php文件、install.php文件和cron.php文件。

2.安装SSL证书

SSL证书专用于敏感数据的安全处理。许多人认为SSL证书仅对电子商务网站至关重要，信息和博客网站不需要维护HTTPS连接。但是SSL加密对于Drupal登录页面保护您的登录凭据很重要。此外，SSL证书提供多项SEO和性能优势，从受信任的供应商处获取SSL证书，以保护您Drupal网站上的数据传输。

3.谨慎使用您的用户名和密码

根据MobileIron的说法，弱密码仍然是数据泄露的首要原因。42%的组织因用户密码泄露而遭到破坏。许多使用“12345”等最简单密码的人更容易受到暴力攻击。请记住，今天的机器人正在互联网上爬行以欺骗登录详细信息。使用复杂的用户名和密码是加强Drupal安全性的最简单和最有效的方法之一。

4.限制登录尝试次数

限制登录尝试可以帮助您避免成为暴力攻击的受害者。作为Drupal安全最佳实践之一，Drupal7及更高版本将每个用户在6小时内的登录尝试次数限制为5次。如果超过这些限制，用户将被阻止6小时内无法进一步登录。如果您使用的是早期版本，请添加一个Drupal安全模块，该模块包含限制登录尝试的功能。

使您的Drupal版本保持最新确实是企业为确保网站安全所能采取的最少行动。Drupal贡献者一直在寻找Drupal漏洞和安全威胁，这可能意味着破坏。当贡献者推出任何新更新时，他们通常会包含针对安全漏洞的补丁和修复程序。延迟这些更新可能会为不良行为者打开大门。让您的Drupal扩展和主题保持最新，以远离网站威胁。

6.执行定期的Drupal站点备份

网站备份可以帮助您在发生任何最糟糕的事件时恢复您的网站。除了Drupal核心和模块文件之外，重要的是将网站运行的所有重要内容都包含在备份中。这有助于在您被简单回滚破坏后快速恢复您的网站。还建议在开始对您的站点进行任何更新之前进行可靠的备份，这在您第一次安装模块或主题时尤其重要。

7.利用Drupal的安全特性

Drupal安全模块可以锁定您的网站并为其提供额外的保护层。这些安全功能使您能够阻止安全威胁、强制使用强密码、阻止恶意网络、扫描漏洞等等。以下是您必须在您的网站上使用的Drupal安全功能列表：