Zdjęcie główne wpis na blogu

Warum Drupal sicherer ist als jedes andere CMS

Drupal
Grzegorz Pietrzak
Grzegorz Pietrzak
05.04.2019

Sie können im Internet viele Vergleiche zwischen beliebten CMS-Systemen finden. Immer wenn Drupal darin erwähnt wird, wird es stets mit Worten wie: sicher, offen, regelmäßig aktualisiert beschrieben. Heute werde ich erklären, warum es einen solchen Ruf hat (Hinweis: es liegt nicht nur daran, dass wir eine Drupal-Agentur sind). Ich werde außerdem Beweise dafür präsentieren, dass das von der Drupal-Community behauptete Sicherheitsniveau nicht nur leere Worte sind.

Hier sind fünf Gründe für Drupals Sicherheit:

1. Open-Source-Charakter

Sie werden wahrscheinlich sagen: Die meisten CMS-Systeme werden im Open-Source-Modell verteilt. Warum sollte das ein Vorteil von Drupal sein? Aber betrachten Sie das CMS-Ökosystem im größeren Rahmen. Fast alle sind unter offenen Lizenzen erhältlich, aber ihre Module, Plugins und Skins werden auch in einem rein kommerziellen Modell vertrieben. Im Fall von WordPress ist der Verkauf von Add-ons ziemlich beliebt, was die Offenheit ihres Codes einschränkt. 

Die Drupal-Community hat ein völlig anderes, zentralisiertes Modell entwickelt. Es besteht hauptsächlich aus kostenlosen Add-ons, die direkt von der drupal.org-Website verfügbar sind und zusätzlich von einem internen Sicherheitsprogramm abgedeckt werden. Ein solcher Ansatz erschwert zwar die Erstellung von Modulen und Skins, macht es aber gleichzeitig schwierig, Schadcode einzuschleusen. Das zentralisierte Modell zeigt seine Vorteile auch im Fall von Sicherheitslücken in Drupal selbst. Dies wurde durch das jüngste Sicherheitsupdate SA-CORE-2019-003 perfekt demonstriert, welches nicht nur den Kern, sondern auch die beliebten Module abdeckte.

2. Sicherheitsteam

Man hört oft von kritischen Fehlern in Drupal. In den Jahren 2018 und 2019 mussten wir einige hochkritische Updates bewältigen, einige von ihnen wurden sogar "Drupalgeddon" genannt. Dies ist jedoch nicht das Ergebnis von Code schlechter Qualität. Es ist das Ergebnis der titanischen Arbeit, die von der Community geleistet wird, insbesondere von dem Teil, der sich mit Sicherheitsfragen beschäftigt.

Das Sicherheitsteam von Drupal besteht derzeit aus über 30 Personen aus verschiedenen Unternehmen und Organisationen weltweit. Es hat sich – dank Effizienz und geradezu paranoider Konzentration auf Sicherheitsfragen – einen wohlverdienten Ruf erarbeitet. Es wird von Freiwilligen unterstützt, die auch im Rahmen bezahlter "Bug-Bounty"-Programme arbeiten.

3. Unterstützung von Organisationen

Am Beispiel von WordPress – Sicherheit geht nicht Hand in Hand mit Reichweite. Doch die Art und Weise, wie ein bestimmtes CMS genutzt wird, ist sehr wichtig. Drupal ist ein System, das häufig von großen Unternehmen und Regierungsbehörden gewählt wird (einige von ihnen sind auf dieser Liste zu finden https://groups.drupal.org/government-sites). Selbst solche Giganten wie Tesla, Nokia, die Harvard-Universität, London und Los Angeles sowie die NASA haben ihm vertraut. Jede dieser Organisationen achtet gut auf die Sicherheitsmaßnahmen auf ihren Websites und führt unzählige interne Audits durch. Die entdeckten Schwachstellen werden in der Regel an das zuvor erwähnte Drupal Security Team weitergeleitet.

Die Unterstützung von großen Playern ist sehr wichtig und notwendig – dank dieser wird ein Open-Source-Projekt zu einem gemeinsamen Gut, dessen Weiterentwicklung allen Interessierten zugutekommt. Als Kuriosität möchte ich erwähnen, dass zu Beginn des Jahres 2019 die Europäische Kommission das Programm EU FOSSA 2 (European Commission Free and Open Source Software Audit) ankündigte – der zweitgrößte Nutznießer, der tatsächlich Drupal ist. Im Rahmen des Programms erhalten diejenigen, die Fehler nachverfolgen, eine Geldprämie, deren Höhe von der Bedeutung der gemeldeten Schwachstelle abhängt. Es sind € 89 000 im Topf.

4. Composer und die Komponenten von Symfony

Seit Version 8 ist Drupal mit Symfony-Komponenten integriert. Es ist ein großer Schritt nach vorne, in Richtung Standardisierung des Codes. Die Nutzung bewährter Module wie EventDispatcher, HttpFoundation/HttpKernel und Routing entlastet die Entwickler von der Notwendigkeit, eigene Lösungen zu pflegen. Gleichzeitig gewinnt die Symfony-Community neue Entwickler und neue Sponsoren. Dadurch steigt das Sicherheitsniveau kontinuierlich, da die grundlegenden Bibliotheken immer "dichter" werden.

Symfony ist nicht nur eine Sammlung von Bibliotheken, es ist auch mit Composer ausgestattet – einem hervorragenden Paketmanager, der nach dem Modell von npm erstellt wurde. Mit Drupal 7 war es bereits möglich, ihn zu nutzen, doch in Version 8 wurde er zu einer geradezu obligatorischen Ergänzung, ohne die man sich die ständige Pflege von Seiten kaum noch vorstellen kann. Es kann mit komplexen Abhängigkeiten umgehen, andere als PHP-Bibliotheken herunterladen, Patches anwenden und Installationsskripte ausführen. Heute, wo die Arbeitsweise von Composer sehr gut entwickelt ist, kann man sicher sagen, dass es ein Meilenstein in der Aktualisierung des Drupal-Codes ist.

5. Sicherheitsmechanismen

Ich habe bereits über viele organisatorische, finanzielle und gestalterische Faktoren geschrieben. Ich habe jedoch nicht speziell darauf hingewiesen, welche Mechanismen einen Webmaster vor einem Angriff auf seine Website schützen. Hier sind einige davon:

  • Passwörter der Benutzer werden in gehashter Form gespeichert, unter Verwendung einer Salz- und multiplikativen Hash-Funktion. Dies erschwert Brute-Force-Angriffe.
  • Die Konfiguration der Seite kann in .yml-Dateien gespeichert werden und mit ihrer vorherigen Version verglichen werden. Darüber hinaus können Sie sie mit dem Features-Modul im Code-Repository speichern. Es ist eine ausgezeichnete Lösung, die die Möglichkeit einer unbemerkten Datenbankinfektion erheblich einschränkt.
  • Erweitertes Berechtigungsmanagement ermöglicht es Ihnen, Benutzerrollen zu definieren und ihnen Aktivitäten zuzuweisen, die sie auf der Seite ausführen können. Die Entwickler von Drupal legen großen Wert auf dieses Thema, und heute resultiert dies in einem hohen Maß an Sicherheit.
  • Das Fehlermeldesystem zeichnet jeden Sicherheitsverstoß auf, einschließlich fehlender .htaccess-Dateien in sensiblen Verzeichnissen.
  • Das Aktualisierungssystem ermöglicht das Herunterladen und Installieren der neuesten Modulversionen aus dem Admin-Panel. Es ist sehr praktisch auf Shared-Hostings, die nicht immer die Möglichkeit haben, Composer zu verwenden.
  • Die Twig-Sprache, die zur Erstellung von Templates verwendet wird, verfügt über fortschrittliche Mechanismen zur Verteidigung gegen XSS- und CSRF-Angriffe.
  • Der umfangreiche Cache ermöglicht es, sich effektiv gegen DoS-Angriffe zu verteidigen.
  • Es ist möglich, die Datenbank vollständig zu verschlüsseln.

Es ist erwähnenswert, dass Drupal mit dem OWASP (Open Web Application Security Project)-Standard übereinstimmt, der die grundlegenden Sicherheitsprinzipien definiert, die ein modernes Webprojekt erfüllen muss.

As part of Drupal support, we maintain existing websites and expand them with new functionalities
Check related blog posts