Restringir el acceso a la página de alojamiento Drupal

Debido a las normas de seguridad de la industria y los requisitos de auditoría, puede que tenga que aplicar la sintonización de seguridad de alto nivel para un sitio Drupal pública. Hay varios métodos que puede utilizar para hacer esto, incluyendo la adición de un módulo a su sitio web o la configuración de restricción de IP en sí mismo Drupal. También puede ser necesario bloquear direcciones IP especiales a causa de ataques u otros problemas.

módulos de seguridad página web

La página web drupal.org contiene varios módulos de terceros populares que pueden ayudarle a afinar la seguridad de su sitio web. Estos módulos de funciones pueden implicar la restricción del acceso o bien a un sitio web completo o para rutas específicas o definir listas blancas de acceso cuando no se administra un servidor de seguridad de ese sitio web. Los siguientes módulos populares son unos pocos que le puede resultar útil - evaluar los módulos en base a las necesidades de su sitio en particular:

Restringir el acceso a la página de alojamiento Drupal varias direcciones IP, este ejemplo bloques

Evaluación de los cambios para Drupal 8 listas blancas está en curso. La siguiente lista se basa en el soporte para módulos de Drupal 8 a partir de octubre el 2016.

restricción de IP en Drupal

restricción de IP en Drupal es una adición importante para proteger los sitios de los visitantes no deseados. Si se trata de sitios de prueba en el que se están añadiendo nuevas características, que deben mantenerse desde la web en general, o intranets privadas de empresas alojadas en la nube, es importante saber que su sitio web está a salvo de miradas indiscretas.

Cuando se trata de proteger tanto las rutas de archivos administrativos y restringir el acceso a direcciones IP única lista blanca, no hay que abarca todo el módulo, ni un método fácil de lograr que en Acquia nube ya que los clientes no tienen acceso a VirtualHosts de Apache y por lo tanto no se puede añadir Apache protecciones estándar.

Con algunas adiciones en el archivo settings.php de un sitio web de Drupal y la inclusión de un nuevo archivo acquia.inc a su directorio / sitios, puede restringir el servicio de contenido a los usuarios accedan al sitio web desde una IP permitido, los usuarios con los protocolos HTTP correcta autenticación, o ambos, para una mayor seguridad.

Incluso con estas protecciones en el lugar, barniz puede almacenar en caché una página restringida si la página no se establece específicamente que no hagan caché, se accede por un usuario en la lista blanca, y no está detrás de autenticación HTTP. páginas de administración no deben almacenarse en caché. Si va a restringir un sitio completo, utilizando los controles de acceso de Drupal y que requieren un usuario autenticado puede haber mejores formas de lograr este objetivo.

Cómo proteger su sitio

Para incluir esta funcionalidad, utilice primero el siguiente código al final de los archivos settings.php individuales, que son localizados por defecto en docroot / sites / default /:

A continuación, cree el archivo acquia.inc en docroot / sitios / acquia.inc. Puede descargar nuestro archivo sugerido desde GitHub. Para una explicación de este archivo con ejemplos, ver el archivo Léame.

Restringir el acceso a la página de alojamiento Drupal la fuente real de IP

Si usted es un cliente Acquia, utilizando el archivo acquia.inc, asegúrese de lista blanca las direcciones IP Acquia. Póngase en contacto con Acquia Soporte para una lista.

Otros casos de uso

Si no necesita la flexibilidad que ofrece la solución precedentes, hay algunas tareas que se pueden utilizar que requiere menos código y si tiene una restricción bastante simple, que puede ser más fácil de mantenimiento.

Redirigiendo a los usuarios fuera de un rango de direcciones IP

En un entorno no Acquia de alojamiento, se puede usar la variable% en .htaccess para redirigir a los usuarios a Google si no caen en el 123.456. * Rango de IP. Esto no funciona en la nube Acquia debido a nuestra estructura de equilibrio de carga.

Para llevar a cabo la redirección de Acquia Nube, utilizar la variable%:

Para más información sobre el bloqueo con .htaccess y reescrituras, consulte Bloqueo del acceso usando reescrituras.

Otro método de restringir o negar los visitantes particulares - bloqueo por IP

Una vez más, debido a la nube Acquia utiliza barniz y balanceadores de carga, controles de acceso típica no funcionará correctamente. Este método es similar a la que se detalla en las mejores prácticas en la creación de un dominio de edición. Se puede utilizar una combinación de una variable de entorno que está presente en su servidor Acquia Nube, AH_Client_IP. y mod_setenvif de Apache.

Debe asegurarse de que estas reglas están en la sección que comprueba que el módulo de Apache mod_rewrite está habilitado; si no lo es, entonces estas redirecciones se producirá un error.

Si necesita bloquear una IP única, el ejemplo siguiente define una variable de entorno en la dirección IP 192.168.15.20 específica, utilizando mod_setenvif.

Si necesita bloquear varias direcciones IP, este ejemplo bloques de direcciones del grupo 104.128. *. * Y la dirección IP 192.168.10.10. Estamos entonces capaz de negar el acceso específicamente a estos dos subredes y permitir el acceso a todos los demás IPs.

Todas las direcciones IP en la subred 104.128 y la dirección IP 192.168.10.10 obtienen una cabecera negar. Las reglas de reescritura para comprobar permitido, y luego se niegan a todos con una cabecera negar.

Para restringir el acceso de forma que sólo determinadas direcciones IP pueden llegar a un sitio, puede usar algo como esto:

Esto es lo contrario del primer ejemplo. En este caso, se utiliza la cabecera permiten dar sólo ciertos grupos acceso al sitio, en lugar de negar esos grupos.

El uso de cabeceras XFF bloquear por IP

Si el bloqueo por IP en .htaccess usando AH_Client_IP no funciona, puede utilizar el encabezado X-reenviado-A. El siguiente ejemplo se incluye esta cabecera en las reglas de bloqueo en .htaccess.:

Este método utiliza una coincidencia de patrón sin los $ ^ y anclajes, así que la idea es que si el IP aparece en cualquier parte del valor de la cabecera XFF la solicitud será bloqueado. Si utiliza este fragmento que tendría que tener cuidado con los falsos positivos, especialmente si se va a hacer uso de los patrones más pequeños para bloquear subredes enteras (por ejemplo, 123.234). Vale la pena teniendo en cuenta "lo que más lo haría este partido patrón?"

Algunos precaución adicional acerca de este método; Sabemos que en realidad no podemos confiar plenamente en las cabeceras XFF porque son fáciles de manipular. Sin embargo, si todo funciona como debería (suponiendo que un atacante no está haciendo IP spoofing), la fuente real de IP normalmente debería aparecer en la cabecera XFF, simplemente no podemos estar seguros de qué posición estará en la posición que variaría dependiendo del proxy y / o la configuración de balanceadores.

¡Mira este video!

Choose Hosting

Top 3