デベロッパー ポータルは、オープンソースの Drupal(http://www.drupal.org)プロジェクトをベースにしたコンテンツ管理システム(CMS)です。Drupal は、モジュール形式で機能のコアセットを提供しており、ウェブサイトのコンテンツ作成に加えて、管理も簡単に行えます。
Drupal には多くのセキュリティ機能が用意されています。このような機能はポータルの構築時に必要になります。このページでは、Drupal の一部のセキュリティ機能について説明します。よく使用される Drupal のセキュリティ機能については、以下に示すリンク先のドキュメントをご覧ください。
次の表に説明するセキュリティ情報とともに、コーディングの標準とセキュリティのための Drupal のベスト プラクティス(https://www.drupal.org/developing/best-practices を参照)にも精通しておいてください。
| トピック | リンク |
|---|---|
| 一般的なガイドライン | Drupal セキュリティの全般的なトピックについては、https://www.drupal.org/security/secure-configuration の記事をご覧ください。 |
| Drupal によるパスワードの格納方法 | 以下のコンテンツをご覧ください。
|
| ブルート フォース攻撃によるログインの阻止 |
How do I protect my site against Brute Force Attacks? をご覧ください。 この構成を Drupal UI を表示 / 編集する方法については、https://www.drupal.org/project/flood_control をご覧ください。 |
| ユーザー名列挙の阻止 | ユーザー名の列挙とは、パスワードを忘れた場合のフォームを悪用して攻撃者がユーザー名を確認する方法です。デフォルトでは、このフォームを使用すると、指定したパスワードが存在するかどうか確認できます。攻撃者は、有効なユーザー名が見つかるまで同じ手順を繰り返します。ユーザー名の列挙を回避するには、Username Enumeration Prevention モジュールをインストールします。 |
| パスワード追加ポリシーの適用 | パスワード ポリシーでは、ユーザーのパスワードの複雑さを定義します。詳しくは、https://www.drupal.org/project/password_policy をご覧ください。 |
| アクティブでない状態が続いた後の自動ログアウトの有効化 | Drupal Automated Logout モジュールを使用すると、設定した時間アクティブでない状態が続いた後にユーザー セッションを終了できます。詳しくは、https://www.drupal.org/project/autologout をご覧ください。 |