Drupal je jedním z nejbezpečnějších open-source redakčních systémů, který používají vládní organizace, univerzity i velké firmy po celém světě. Jeho bezpečnost je důsledkem nejen kvality samotné platformy, ale i přístupu správců a vývojářů.

V tomto článku vám představíme osvědčené bezpečnostní postupy, které by měl dodržovat každý, kdo provozuje nebo vyvíjí web na Drupalu.

1. Pravidelné aktualizace

Základem bezpečnosti je udržování aktuální verze jádra Drupalu i všech modulů a knihoven. Vývojářský tým Drupalu pravidelně vydává bezpečnostní aktualizace a známé zranitelnosti jsou zveřejňovány na Drupal.org Security Advisories.

Doporučujeme:

  • Používat Composer pro správu závislostí
  • Nastavit upozornění na nové verze (např. přes Drush nebo cron)
  • Aktualizovat nejlépe do 24 hodin od vydání bezpečnostní opravy

2. Silná hesla a dvoufázové ověření

Zabezpečení přístupu do administrace je klíčové. Základním krokem je používání silných a unikátních hesel. Pro redaktory a administrátory doporučujeme zapnout dvoufázové ověření (2FA).

Moduly, které pomohou:

  • password_policy
  • two-factor authentication
  • login_security

3. Omezení přístupu a oprávnění

Drupal umožňuje velmi detailní správu oprávnění. Každému uživateli by měla být přidělena pouze ta práva, která skutečně potřebuje.

Doporučujeme:

  • Nepoužívat účet user/1 pro běžnou práci
  • Omezit přístup k administraci podle IP adres (např. pomocí .htaccess)
  • Pravidelně kontrolovat uživatelské role a oprávnění

4. HTTPS a správné hlavičky

Vaše stránky by měly být dostupné výhradně přes HTTPS. Kromě SSL certifikátu je důležité také správně nastavit bezpečnostní hlavičky:

  • Strict-Transport-Security
  • Content-Security-Policy
  • X-Frame-Options
  • X-Content-Type-Options

Tyto hlavičky můžete nastavit na úrovni serveru nebo pomocí modulu secure_headers.

5. Monitorování a logování

Bez aktivního sledování není možné včas odhalit bezpečnostní incident. Drupal má vestavěný systém logování (dblog), ale doporučujeme jej doplnit o:

  • syslog (pro přesměrování logů na úroveň serveru)
  • security_review (pro auditní kontrolu nastavení)
  • watchdog v kombinaci s nástroji jako Fail2Ban

6. Ochrana proti útokům typu brute-force a spam

Boty se často pokoušejí o přihlášení pomocí hrubé síly nebo spamují formuláře. Základní ochranou je:

  • Omezit počet pokusů o přihlášení (flood control)
  • Aktivovat CAPTCHA (captcha, honeypot)
  • Zakázat registrace, pokud nejsou potřeba

7. Modul „Security Review“

Modul security_review odvedl velký kus práce v oblasti automatického auditu bezpečnostního nastavení. Upozorní vás například na:

  • Slabá hesla
  • Chybějící přesměrování na HTTPS
  • Povolené nebezpečné oprávnění
  • Veřejně přístupné soubory

8. Zálohování a rychlá obnova

Bezpečnost není jen o prevenci, ale také o schopnosti rychle obnovit provoz po incidentu.

Základní pravidla:

  • Zálohujte denně (databázi i soubory)
  • Testujte obnovu ze zálohy
  • Uchovávejte zálohy na externím úložišti
  • Šifrujte zálohovaná data

9. Výběr správného hostingu

Bezpečnost začíná na úrovni serveru. Doporučujeme:

  • Hosting s pravidelnými bezpečnostními aktualizacemi
  • Možnost SSH přístupu a Composer podpory
  • Automatické zálohy
  • Ochrana proti DDoS útokům

V českém prostředí se osvědčily například VPS servery nebo specializovaní poskytovatelé jako Forpsi s SSH přístupem.

Závěr

Drupal je výkonný a bezpečný systém – pokud je správně nastavený a pravidelně udržovaný. Bezpečnostní hrozby se vyvíjejí, a proto je důležité zůstat v obraze, mít aktualizovaný software, jasná pravidla a důvěryhodného partnera, který vám s bezpečností pomůže.

Pokud si nejste jisti, zda je váš Drupal web dostatečně chráněný, ozvěte se nám

Provedeme bezpečnostní audit, doporučíme vylepšení a můžeme zajistit i pravidelný dohled a aktualizace.