«Dovresti prendere sul serio la sicurezza del tuo sito. Fortunatamente, Drupal è abbastanza sicuro di default, ma le persone commettono errori.
Il modulo Security Review automatizza molti degli errori facili da commettere che rendono insicuro il tuo sito.»
Security review esegue le seguenti verifiche:
- Permessi del file system
- Formati del testo
- Contenuto (nodi, commenti e field)
- Visualizzazione errori
- File privati
- Estensioni di file per i quali è consentito l'upload
- Errori del database
- Login non riusciti
- Permessi di amministrazione di Drupal
- Username e password
- Password inserite nei testi delle email
- Accesso a PHP
Questo modulo non rende più sicuro il sito, ma informa sui potenziali rischi di sicurezza. Dopo aver eseguito il controllo è quindi opportuno usare i risultati del check per sistemare eventuali problemi di sicurezza.
Ogni volta che si modificano le impostazioni è consigliabile eseguire nuovamente il check per verificare l'esito delle modifiche.
In base alle impostazioni del server alcuni dei problemi segnalati da Security Review possono non rappresentare dei reali problemi di sicurezza, il consiglio è quindi di concordare con l'amministratore del server la migliore configurazione in base ai singoli contesti.
Dopo aver attivato il modulo, esegui il check dalla pagina di Security Review nella sezione dei resoconti. Se il modulo evidenzia degli errori procedi alla verifica di ciascuno (la pagina di dettagli collegata ad ogni check eseguito fornisce delle indicazioni aggiuntive e dei collegamenti utili per intervenire rapidamente). Ricorda di eseguire nuovamente il check dopo aver corretto la configurazione del server o dei moduli.
Nella pagina delle impostazioni del modulo Security Review è possibile scegliere quali ruoli utente considerare "fidati" e "non fidati" (così che il modulo possa eseguire i test di sicurezza sui contenuti in maniera appropriata); è inoltre possibile scegliere di non eseguire alcuni test (non eseguire alcuni test potrebbe nascondere la presenza di problemi di sicurezza, andrebbe quindi fatto solo se si sa esattamente quello che si sta facendo).