Open Source Software wie Drupal sind lizenzfrei erhältlich und quelloffen – doch wie wirkt sich das auf die Drupal Security aus? Ist Open Source unsicherer als kostenpflichtige Softwares?
Aufgrund der hohen Anzahl an Mitwirkenden steht die Drupal Software in dem Verdacht, unsicher zu sein. Doch gerade das ist der Vorteil offener Systeme wie Drupal – eine große Community hat direkten Einblick in Funktionsweisen und mögliche Schwächen, was die Aufdeckung und Behebung von so genannten Backdoors und anderen Schwachstellen und Sicherheitslücken erheblich beschleunigt.
Für uns als Drupal Agentur hat das Thema Sicherheit besonderen Stellenwert und sollte immer wieder neu beleuchtet werde. Dabei verlassen wir uns nicht nur auf eigenes Know-How und unsere langjährige Open Source Erfahrung, sondern ziehen zudem die Meinungen von bekannten Drupal-Sicherheits-Experten heran, um uns aktuell und professionell beraten zu lassen.
Von unseren Erkenntnissen und daraus folgenden Entwicklungen profitieren die Drupal Community und unsere Kunden – so zum Beispiel durch automatiasierte Update Sicherheit mit codario.io. Die Zeit, von der Veröffentlichung eines neuen sicherheitsrelevanten Updates bis hin zum Einspielen in der Drupal Installation, ist einer der entscheidenden Faktoren in Open Source Projekten.
Drupal, als eine der weltweit größten Open Source Communities, arbeitet dabei besonders vorbildlich. Das international aufgestellte Security Team hat sich ausschließlich der Sicherheit von Drupal Core und Contrib-Modulen verschrieben und trägt dafür Sorge, dass erkannte Sicherheitslücken schnellstmöglich geschlossen werden und die Nutzer der Module darüber informiert werden. Nun liegt die Verantwortung beim Nutzer oder dem beauftragten Dienstleister, diese Updates auch schnell und zeitnah einzuspielen. Eine Pflicht, die leider immer noch zu oft vernachlässigt wird. Die Konsequenzen haben Namen: Drupalgeddon, Panama Papers et al.
Suchen Sie das passende Drupal Team?
In diesem Beitrag lesen Sie von gleich drei Experten der internationalen Drupal-Security- Welt über Sicherheit und die neuste Drupal 8 Version. In diesem Auszug haben Greg Knaddison, Mike Gifford sowie David Snopek Antworten auf Fragen wie „Welche Auswirkungen hat Drupal 8 auf die Sicherheit von Drupal?“ und geben praktische Tipps für Drupal Projekte und Digitalagenturen.
Greg Knaddison ist ein Langzeit-Mitglied des Drupal Security Teams und leitete dieses zwei Jahre lang. 2008 veröffentlichte Knaddison „Cracking Drupal“, das als einziges Buch die Thematik der Sicherung von Drupal Seiten abdeckt.
Was bedeutet die Veröffentlichung von Drupal 8 für die allgemeine Drupal-Sicherheit?
Knaddison betont, dass Drupal 8 durch durch Optimierung zu einer der sichersten Versionen geworden ist. Es wurden Features fertig eingebaut, die in vorangehenden Versionen lediglich über Module oder Patches, also zusätzliche Elemente verfügbar waren. Große Teile der Drupal Codebasis wurden für diese Version umgeschrieben, was Knaddison zu der Aussage veranlasst, dass mögliche Sicherheitslücken dieser Version in einem deutlich schnelleren Zeitumfang gefunden werden können.
Mike Gifford ist der Präsident von OpenConcept Consulting Inc. Er setzt sich für die Barrierefreiheit in Drupal 8 ein, macht Sicherheits- und Datenschutzangelegenheiten zu seiner Passion und ist zudem der Autor von Drupal Security Best Practices – ein praktischer Ratgeber, der viele Wege zur Festigung von Drupal Seiten zusammenfasst (hier kostenlos downloaden).
Welchen allgemeinen Rat zur Drupal 8 Sicherheit können Sie Drupal Agenturen geben?
Auch Gifford ist überzeugt, dass Drupal 8 sehr viel besser als vorangegangene Drupal Versionen ist. Er betont dabei jedoch, dass die Einarbeitung in und die Umstellung auf die neue Version mehr Zeit beansprucht – was die Versuchung, Core oder Contrib Module aus Ungeduld oder Zeitdruck nach eigenen Anforderungen verändern zu wollen, erhöht.
Damit erschwere es sich ein Website-Besitzer jedoch nur, die Tragfähigkeit der Seite langzeitig zu sichern, so Gifford. Auch auf Drängen der Kunden sollten Unternehmen nicht voreilig unfertige Drupal Codes verwenden. Generell betont Gifford, dass die Zeit- und Budgetplanung die sich entwickelnden Projekte und vor allem die Prüfung und Kontrolle dieser Projekte berücksichtigen sollte. Zudem sei Social Engineering ein Weg, über den Kunden-Webseiten gehacked werden können. Drupal Agenturen nehmen für Gifford eine wichtige Rolle in der Beratung ihrer Kunden ein. Es gibt einige Systemkomponenten, die in eine Website eingehen, die direkt vom Kunden gesteuert werden. Die Drupal Dienstleister sollten daher absichern, dass sich Kunden die Zeit nehmen, dies zu dokumentieren und angemessen zu schützen.
Mike Gifford hofft weiterhin, dass mehr und mehr Agenturen und Entwickler an der Weiterentwicklung von Drupal mitwirken, da Gifford die Beteilung an der Drupal 7 Entwicklung bemängelt.
David Snopek ist Gründer von myDropWizard.com, erfahrener Drupal Entwickler und langjähriges Community-Mitglied. Er unterstützt die Panopoly Distribution in ihrer Verwaltung sowie die Organisation der Drupal Meetup Gruppe in Milwaukee, WI. Snopek ist ein aktuelles Mitglied des Drupal Security Teams.
Welche Faktoren sind für die Drupal Security im Website-Wartungsprozess besonders wichtig?
David Snopek gibt uns zusammengefasst drei Hauptfaktoren an:
(1) Den Code sichern: Versichern Sie sich, dass Sie keine Drupal Core Version oder andere Contrib Module nutzen, die bekannte Sicherheitsmängel aufweisen. Sollten Sie benutzerdefinierte Module oder Themes verwenden, sollten Sie diese zuvor prüfen (dazu gibt es einige Hilfs-Tools, beispielsweise www.pareview.sh ).
2) Den Server sichern: Benutzen Sie HTTPS, laden Sie alle Sicherheits-Updates Ihres Betriebsystems, gehen Sie sicher, dass der Webserver-Nutzer keine Erlaubnis zum Schreiben von ausführbaren Code-Dateien besitzt und so weiter. Dies sind keinesfalls nur auf Drupal beschränkte Hinweise! Das Nutzen eines Hosting-Dienstes (wie zum Beispiel Pantheon) erleichtert diesen Vorgang und Sie können sich auf andere Projekte konzentrieren.
(3) Konfigurationen sichern: Gehen Sie sicher, dass Sie den weniger vertrauenswürdigen Nutzer-Rollen keine allzu einflussreichen Zugriffe garantieren; dagegen aber, dass vertrauenswürdige Nutzer sichere Passwörter erhalten (oder Zwei-Faktor-Authentifizierung ) und dass Sie keine zusätzlichen Sicherheitslücken mit Ihrer Seiten-Konfiguration einführen.
Wir blicken zuversichtlich auf zukünftige Weiterentwicklungen der Open Source Software Drupal 8 und tragen mit unserem automatischen Update-Tool codario.io dazu bei, Drupal Security noch sicherer zu gestalten. Wir freuen uns außerdem, dass zunehmend mehr Drupal Agenturen der Sicherheit Ihrer Kundenportale höchste Priorität einräumen und mit codario.io auf die Automatisierung dieser Pflicht setzen.
