Drupal absichern: umfassende Anleitung

Drupal ist bekannt für seine starke Sicherheit, aber nur, wenn es korrekt konfiguriert und gewartet wird. In dieser Anleitung behandeln wir alle wesentlichen Sicherheitsmaßnahmen, um Ihre Drupal-Website vor Angriffen zu schützen.

Warum Drupal-Sicherheit wichtig ist

Drupal wird von Regierungen und großen Organisationen gerade wegen der guten Sicherheit genutzt. Aber jede Website ist ein potenzielles Ziel:

  • Hacker suchen nach Schwachstellen
  • Malware kann Besucher infizieren
  • Daten können gestohlen werden
  • Ihre Seite kann für Spam missbraucht werden Mit den richtigen Maßnahmen verhindern Sie 95% aller Angriffe.

Updates als erste Verteidigungslinie

Updates sind die wichtigste Sicherheitsmaßnahme für Drupal.

Sicherheitsankündigungen verfolgen

Drupal veröffentlicht Sicherheitsupdates zu festen Zeiten:

  1. Folgen Sie dem Drupal Security Team
  2. Abonnieren Sie Sicherheitsmeldungen
  3. Sicherheitsveröffentlichungen kommen mittwochs
  4. Kritische Updates werden sofort angekündigt

Drupal Core aktualisieren

Halten Sie den Core immer auf dem neuesten Stand:

  1. Gehen Sie zu Berichte und dann Verfügbare Updates
  2. Sie sehen verfügbare Updates
  3. Sicherheitsupdates haben ein rotes Label
  4. Erstellen Sie zuerst ein Backup
  5. Führen Sie das Update durch Über Composer (empfohlen):
# Verfügbare Updates prüfen
composer outdated drupal/*
# Drupal Core aktualisieren
composer update drupal/core-recommended drupal/core-composer-scaffold --with-all-dependencies
# Datenbank-Updates durchführen
drush updatedb
drush cache:rebuild

Module aktualisieren

Auch Module können Sicherheitslücken haben:

  1. Gehen Sie zu Berichte und dann Verfügbare Updates
  2. Überprüfen Sie den Tab Nur Sicherheitsupdates
  3. Aktualisieren Sie zuerst Module mit Sicherheitsproblemen
# Alle Module aktualisieren
composer update drupal/*
# Spezifisches Modul aktualisieren
composer update drupal/webform

Starke Passwörter und Authentifizierung

Schwache Passwörter sind eine häufige Schwachstelle.

Passwortrichtlinie festlegen

  1. Gehen Sie zu Konfiguration und dann Benutzer
  2. Klicken Sie auf Kontoeinstellungen
  3. Konfigurieren Sie Passwortanforderungen:
    • Minimale Länge
    • Erforderliche Zeichen (Großbuchstaben, Zahlen, Sonderzeichen)
  4. Speichern Sie die Einstellungen

Password Policy Modul

Für umfangreichere Richtlinien:

composer require drupal/password_policy

Konfigurieren Sie Regeln für:

  • Minimale Passwortlänge (12+ Zeichen)
  • Erforderliche Zeichentypen
  • Passwortverlauf
  • Ablaufdatum

Zwei-Faktor-Authentifizierung

Fügen Sie eine zusätzliche Sicherheitsebene hinzu:

composer require drupal/tfa

Konfiguration:

  1. Gehen Sie zu Konfiguration und dann TFA
  2. Wählen Sie die Authentifizierungsmethode (TOTP, Wiederherstellungscodes)
  3. Erfordern Sie 2FA für Administratoren
  4. Benutzer richten es über ihr Profil ein

Benutzerrechte einschränken

Das Prinzip der minimalen Rechte ist essenziell.

Rollen überprüfen

  1. Gehen Sie zu Benutzer und dann Berechtigungen
  2. Überprüfen Sie jede Rolle auf unnötige Rechte
  3. Entfernen Sie Rechte, die nicht benötigt werden
  4. Achten Sie besonders auf:
    • Inhaltsverwaltungsrechte
    • Admin-Rechte
    • PHP-Ausführungsrechte

Kein PHP in Inhalten

Das PHP-Filter-Modul wurde aus Drupal 8+ aus guten Gründen entfernt. Installieren Sie es niemals. Verwenden Sie stattdessen:

  • Benutzerdefinierte Module für dynamische Funktionalität
  • Twig-Templates für die Anzeige

Admin-Konten einschränken

  1. Minimieren Sie die Anzahl der Admin-Konten
  2. Verwenden Sie spezifische Rollen anstelle vollständiger Admin-Rechte
  3. Überprüfen Sie regelmäßig, wer welchen Zugriff hat

Dateirechte und Serversicherheit

Korrekte Dateirechte verhindern viele Angriffe.

Empfohlene Rechte

Drupal benötigt spezifische Rechte:

# Verzeichnisse: 755
find /path/to/drupal -type d -exec chmod 755 {} \;
# Dateien: 644
find /path/to/drupal -type f -exec chmod 644 {} \;
# sites/default/files beschreibbar
chmod 755 sites/default/files
# settings.php schreibgeschützt
chmod 444 sites/default/settings.php

settings.php sichern

Nach der Installation muss settings.php schreibgeschützt sein:

chmod 444 sites/default/settings.php
chmod 555 sites/default

Trusted Host Einstellungen

Konfigurieren Sie, welche Hostnamen in settings.php gültig sind:

$settings['trusted_host_patterns'] = [
  '^www\.ihrdomain\.de$',
  '^ihrdomain\.de$',
];

Dies verhindert Host-Header-Angriffe.

SSL/HTTPS konfigurieren

Alle Drupal-Seiten sollten HTTPS verwenden.

SSL aktivieren

Bei Theory7 Hosting ist SSL kostenlos verfügbar:

  1. Aktivieren Sie Let's Encrypt in DirectAdmin
  2. Warten Sie, bis das Zertifikat erstellt wurde
  3. Testen Sie, ob HTTPS funktioniert

HTTPS erzwingen

Erzwingen Sie HTTPS über .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Oder über settings.php:

$settings['https'] = TRUE;

Sichere Cookies

Stellen Sie sicher, dass Cookies nur über HTTPS gesendet werden:

// In settings.php
ini_set('session.cookie_secure', 1);

Sicherheitsmodule installieren

Zusätzliche Module stärken Ihre Sicherheit.

Security Kit

composer require drupal/seckit

Konfiguriert:

  • Content Security Policy (CSP)
  • Schutz vor Clickjacking
  • Prävention von Cross-Site Scripting (XSS)

Honeypot

Schützt vor Spam-Bots:

composer require drupal/honeypot

Fügt unsichtbare Felder hinzu, die Bots ausfüllen, legitime Benutzer nicht.

Flood Control

Schützt vor Brute-Force-Angriffen:

composer require drupal/flood_control

Konfigurieren Sie Limits für:

  • Anmeldeversuche pro IP
  • Anmeldeversuche pro Konto
  • Kontaktformularübermittlungen

reCAPTCHA

Schützt Formulare vor Bots:

composer require drupal/recaptcha

Konfigurieren Sie mit Ihren Google reCAPTCHA-Schlüsseln.

Überwachung und Protokollierung

Erkennen Sie Probleme schnell durch gute Überwachung.

Drupal-Protokolle anzeigen

  1. Gehen Sie zu Berichte und dann Aktuelle Protokollnachrichten
  2. Filtern Sie nach Schweregrad
  3. Achten Sie auf wiederholte Fehler
  4. Überprüfen Sie auf verdächtige Aktivitäten

Datenbankprotokoll konfigurieren

  1. Gehen Sie zu Konfiguration und dann Entwicklung
  2. Klicken Sie auf Protokollierung und Fehler
  3. Stellen Sie ein, wie viele Nachrichten gespeichert werden
  4. Protokollieren Sie Fehler in syslog für permanente Speicherung

Externe Überwachung

Erwägen Sie externe Überwachung für:

  • Uptime-Monitoring
  • Sicherheits-Scans
  • Leistungskennzahlen
  • SSL-Zertifikatablauf

Backup-Strategie

Backups sind Ihre letzte Verteidigungslinie.

Backup and Migrate Modul

composer require drupal/backup_migrate

Konfigurieren Sie:

  1. Automatische tägliche Backups
  2. Speicherung an einem externen Ort
  3. Mehrere Versionen aufbewahren
  4. Wiederherstellung regelmäßig testen

DirectAdmin Backups

Kombinieren Sie mit DirectAdmin Backups für zusätzliche Sicherheit.

Sicherheitscheckliste

Überprüfen Sie regelmäßig:

  • Drupal Core und Module auf dem neuesten Stand
  • Starke Passwörter für alle Konten
  • Zwei-Faktor-Authentifizierung für Admins
  • Minimale Rechte pro Rolle
  • Korrekte Dateirechte
  • HTTPS aktiv und erzwungen
  • Sicherheitsmodule installiert
  • Protokollierung aktiv
  • Backups funktionierend

Verwandte Artikel

Benötigen Sie Hilfe?

Wir sind für Sie da! Stoßen Sie auf Probleme oder haben Sie Fragen? Unser Support-Team hilft Ihnen gerne persönlich weiter. Senden Sie uns eine Nachricht über das Ticketsystem - wir antworten in der Regel innerhalb weniger Stunden und denken gerne mit Ihnen mit.