Drupal Security: Bei uns wird Sicherheit grossgeschrieben

In den Zeiten von Panama Papers oder Drupalgeddon wird aufgezeigt, wie wichtig das Monitoring und die kontinuierliche Aktualisierung eines Online Systems ist. Ein Projekt endet heute nicht mehr mit der Auslieferung, sondern grundsätzlich erst nach dessen Laufzeit. Dies bedeutet nicht, dass es ständig weiterentwickelt werden muss, aber dass es essentiell ist, die Plattform über die Laufzeit periodisch zu warten. Eine passende Allegorie aus der Praxis: Die Pflege eines Autos. Zur Gewährleistung der Sicherheit des Fahrzeugs muss es regelmässig zur Wartung in den Service gebracht werden.

Bildquelle: Pexels.com

Mit Previon+ als Partner müssen Sie sich nicht darum kümmern, ob Updates für ihr Projekt notwendig sind und eingespielt werden müssen. Previon+ bietet dazu einen Wartungsvertrag (ESA - Extended Service Agreement), welcher das Monitoring, die Evaluation und das Einspielen von Updates regelt. Wir prüfen alle Security-Bulletins und definieren eine Reaktionszeit, wenn Projekte davon betroffen sind. Dadurch ist gewährleistet, dass Security-Updates im notwendigen Zeitfenster eingespielt werden. Aus diesem Grund war Previon+ auch vorbereitet, als kürzlich kritische Sicherheitslücken veröffentlicht wurden. Alle Projekte wurden innerhalb kürzester Frist aktualisiert und es bestand keine Gefahr für die betroffenen Seiten.

Gewährleistung von Sicherheit in Projekten

Grundsätzlich hängt die Sicherheit eines Projektes nicht nur vom Einspielen von Security-Updates ab, sondern wird von vielen weiteren Faktoren beeinflusst. Nachfolgend ein paar Beispiele, welche Punkte bei Previon+ in jedem Projekt zusätzlich beachtet werden:

  • Entfernen von Dateien welche einen Rückschluss auf die eingesetzte Version geben (z.B. CHANGELOG.txt)
  • Nicht Verwenden des PHP Filters (kein Code in der Datenbank)
  • Anwenden klarer Security-Guidelines in der Entwicklung
  • Verwendung der aktuellsten Versionen von Modulen und vom Core
  • Der Administrator Benutzer hat ein starkes Passwort und der Benutzername lautet nicht Admin oder Administrator
  • Deaktivieren der direkten Anzeige von System-Error-Meldungen auf der Seite (nur Error-Logging im Hintergrund)
  • Komprimieren der CSS und Javascript Dateien
  • Wir arbeiten nur mit etablierten Hostern zusammen
     

Previon+ setzt sich immer dafür ein, dass die Sicherheit der Projekte unserer Kunden gewährleistet ist.