作者:老葛,北京亚艾元软件有限责任公司,http://www.yaiyuan.com
曾经有位学员打电话问我,说他的Drupal站点挂机了,他说他的站点可能受到了黑客攻击。问我能不能帮他查查,我告诉他,Drupal很稳定,通常不会出现这种情况。后来,原因出来了,原来是他网站所在服务器上面的另一套程序被人攻击了,导致了他的站点也受到了牵连。是的,这不是Drupal的错。我维护过很多Drupal站点,基本上没有见过被黑掉的Drupal站点。我前段时间,帮助我的一位大学老师维护他的个人站点,ASP的,小团队写的,里面挂满了木马,我不得不逐个文件夹进行核查。
是的,Drupal核心很安全了,因为Drupal核心程序得到了上百万个站点的检验了。但是这并不意味着说,你新上马的这个Drupal站点也是安全的。因为你的站点上面,安装了各种各样的第三方模块,以及自己定制的模块,这些代码与Drupal核心相比,存在安全漏洞的可能性更高一点。如果我们在编写自己的模块时,能够遵守代码安全相关的最佳实践,优先采用Drupal自身提供的API,我们就可以避免常见的安全漏洞。安全问题有很多,比较常见的有,跨站点脚本攻击(XSS)、CSRF、 SQL注入攻击、信息泄露、哈希长度扩展攻击。我们接下来介绍,Drupal提供了哪些技术,能够帮助我们避免这些安全漏洞。
