關於目前出現的drupal漏洞，我們都要對其進行漏洞修復，以及網站安全加固與安全防護，對於如何修復drupal漏洞，我們應該從最基礎的代碼安全入手，我們應該從下面的幾個點開始：

從哪裏來就應該到哪裏去，從最基礎的代碼入手，大多數的網站使用的drupal系統開發的，基本都會適用於下列的幾種情況，使用大多數網站運營者的一個社區開發的安全解決方案，可以對drupal系統進行更好維護與升級，檢查drupal的版本為最新，完整。盡量的使用系統默認的配置以及代碼，不要找第三方網站開發公司進行開發與設計，默認的一些安全屬性不要去碰，只有再不得已的情況下才開啟權限，默認是不能開啟。網站的運行權限避免使用root管理員權限，使用普通的賬號權限去運行。定期對網站的系統進行安全檢測與安全維護，對一些特殊的文件代碼進行對比，經常的安全備份代碼。對於數據庫的備份要做到每天一份，盡可能的把損失降到最低。服務器的IP可以使用CDN加速，來隱藏網站的真實IP，避免遭受到流量***。

drupal服務器方面的安全部署，應該從以下幾點開始設置，包括ssh端口的修改，使用iptables來限制端口的放行，linux系統都會使用root的超級管理員賬號，一些***者都會對服務器進行暴力破解，用弱密碼嘗試進行登錄服務器，對服務器的端口進行更改，把默認的22端口改為一些不常見的端口，還有一個就是嘗試登錄失敗的次數如果超過10次就禁止該IP登錄，需要配置linux服務器的sshd_config文件。修改root的管理員賬號密碼為12位以上，數字+大小寫字母+特殊字符組合。

1.使用iptables端口安全設置，對常用的網站80端口，21端口，SSH端口進行開放。杜絕任何IP連接服務器的其他端口。像mysql數據庫的端口也要禁止掉，不要對外開放，只允許本地數據庫調用。

2.網站文件夾的權限設置，網站文件權限設置為非root權限賬戶進行允許，對於網站的目錄只有普通賬戶以及root賬戶才有修改權限，普通權限的賬號無法對服務器的系統目錄進行修改，查看，寫入。

3.刪除一些不常用的web服務器組件與插件，盡可能的縮減到最少，這樣才是最安全的。對網站的訪問方式啟用https,SSL綠色證書訪問模式，加強網站的加密方式，用戶輸入的賬號密碼，以及註冊的資料，都會以SSL加密的方式進行傳輸，保障用戶的數據安全。

4.drupal的代碼文件權限設置一下，將配置文件settings.php設置為只讀權限，包括模塊文件夾，以及模板文件夾，都設置為只讀，如果需要更改就開放只讀權限，對於一些drupal使用到的緩存文件夾，以及session文件都需要開發寫入權限，去掉腳本PHP執行權限。

5.drupal的網站漏洞修復，檢查官網的補丁升級，以及最新版本，後臺可以更新到最新版本，以及單獨的漏洞補丁包到官方網站去下載，經常去檢查，去查看。關於durpal數據庫的安全部署我們放到下一篇文章裏去講，先讓大家消化一下，安全也不是一下子就能做好的，需要慢慢消化，積累到自己的安全經驗中去。

Drupal 網站漏洞修復以及網站安全防護加固方法