Безопасность это не какие-то настройки, это постоянная работа.
Основной рецепт таков: Квалифицированные разработчики, квалифицированный системный администратор, который будет следить за сервером, а не просто один раз его настроит(что хорошо, но не достаточно), своевременные обновления и ядра/модулей и серверного ПО.
За сайтом надо постоянно следить и обслуживать его.
Дополнительно:
Возможно, имеет смысл использовать перед сайтом какой-нибудь Cloudflare c настроенным WAF(там есть профиль для drupal) или поднять и настроить WAF на сервере.
Secure Login - совершенно бесполезный модуль, если у вас есть https(а как не быть ему),у вас должен быть и так редирект на https, всех запросов, а не только формы логина.
Security Kit, Content-Security-Policy не то, чтобы совершенно бесполезны, но эти заголовки устанавливаются в правильном конфиге веб сервера, и тогда они не нужны фактически.
Security Review проверяет ну совсем очевидные вещи только. Если, у вас адекватный разработчик, вам тоже не нужен. А если нет, то от плохого кода/подхода к разработке не поможет ничего.
Спасибо большое. Я наверное переформулирую точнее, что именно в первую очередь имеется ввиду.
Тему нужно было бы скорее озаглавить: "Наиболее безопасные методы оплаты на Друпал сайтах" или "Скрытые риски при платежах через аггрегаторы".
Т.е. речь идет о настройках, чтобы исключить ввод важной информации через сайт.
Например я хочу, чтобы на сайте вообще не было никаких данных о картах пользователей.
Достаточно ли для этого подключения аггрегатора платежей (например Робокассы) с перенаправлением за пределы сайта перед платежом как единственного способа оплаты?
Комментарии
вот хороший модуль Content-Security-Policy. только после его настройки может что-то не заработать и он немного устарел.
я проверял безопасность на этом ресурсе https://observatory.mozilla.org/ .
вот хороший комбайн Security Kit, Secure Login и старый модуль Security Review можно запустить .
Безопасность это не какие-то настройки, это постоянная работа.
Основной рецепт таков: Квалифицированные разработчики, квалифицированный системный администратор, который будет следить за сервером, а не просто один раз его настроит(что хорошо, но не достаточно), своевременные обновления и ядра/модулей и серверного ПО.
За сайтом надо постоянно следить и обслуживать его.
Дополнительно:
Возможно, имеет смысл использовать перед сайтом какой-нибудь Cloudflare c настроенным WAF(там есть профиль для drupal) или поднять и настроить WAF на сервере.
Secure Login - совершенно бесполезный модуль, если у вас есть https(а как не быть ему),у вас должен быть и так редирект на https, всех запросов, а не только формы логина.
Security Kit, Content-Security-Policy не то, чтобы совершенно бесполезны, но эти заголовки устанавливаются в правильном конфиге веб сервера, и тогда они не нужны фактически.
Security Review проверяет ну совсем очевидные вещи только. Если, у вас адекватный разработчик, вам тоже не нужен. А если нет, то от плохого кода/подхода к разработке не поможет ничего.
Спасибо большое. Я наверное переформулирую точнее, что именно в первую очередь имеется ввиду.
Тему нужно было бы скорее озаглавить: "Наиболее безопасные методы оплаты на Друпал сайтах" или "Скрытые риски при платежах через аггрегаторы".
Т.е. речь идет о настройках, чтобы исключить ввод важной информации через сайт.
Например я хочу, чтобы на сайте вообще не было никаких данных о картах пользователей.
Достаточно ли для этого подключения аггрегатора платежей (например Робокассы) с перенаправлением за пределы сайта перед платежом как единственного способа оплаты?