it-swarm.com.de

Empfehlungen für Sicherheitstests einer Drupal Site?

Ich bin dabei, die Website meines Unternehmens mit Drupal 7.) neu zu starten. Ich bin der einzige Webingenieur in unserer IT-Abteilung, daher habe ich viel auf dem Teller, wenn wir uns dem Startdatum nähern Dies ist meine erste große Drupal Site, ich möchte sicher sein, dass sie so sicher wie möglich ist. Ich habe so viele proaktive Sicherheitsmaßnahmen wie möglich durchgeführt, einschließlich der Befolgung der sichere Konfiguration) und die Best Security Practices Anleitungen auf drupal.org, ich habe die Sicherheits-Newsgroup abonniert und den LAMP-Server mithilfe von Best Practices der Branche gehärtet.

Nachdem ich die Due Diligence in Bezug auf proaktive Sicherheit abgeschlossen habe, möchte ich vor der Inbetriebnahme ein Sicherheitsaudit durchführen, um einen Bericht erstellen zu können, der besagt, dass wir für das Management "so sicher wie möglich" sind. Normalerweise mache ich alle Tests von Hand, Seite für Seite, mit dem OWASP Web App Test-Cheatsheet ; Ich bin jedoch neu bei Drupal, diese Seite umfasst Hunderte von Seiten und ich habe nur eine begrenzte Zeit.

Was sind Ihre Empfehlungen für Sicherheitstests auf einer Drupal -Site dieser Größe? Ich habe Zugriff auf Rapid7s Nexpose Enterprise, daher werde ich diese für einige automatisierte Tests verwenden. Ich möchte kein gehostetes Scannen verwenden Tools, aber ich werde sicherheitsgeprüfte Tools in Betracht ziehen, die ich selbst installieren kann. Haben Sie Sicherheitschecklisten, die Sie verwenden, ähnlich wie OWASP, aber spezifisch für Drupal 7? Irgendwelche anderen Ratschläge für Dinge Ich könnte vermisst haben, werden auch geschätzt!

5
Paul
11
greggles