この脆弱性の詳細はすでにハブに記載されています。ここでは、Drupalサイトを保護する方法について説明します。
このサービス-http://filippo.io/Heartbleed/を使用して(または試して-http://possible.lv/tools/hb/またはhttp://www.ssllabs.com/を使用して、サイトが脆弱かどうかを確認できます。 ssltest / )。
なぜなら この脆弱性はSSLに関するものであるため、HTTPSホストのみを確認する必要があります。
運が悪くて脆弱性がある場合は、まずOpenSSLライブラリを更新するか、ホスティングをレンタルする場合はサポートに連絡する必要があります。
次に、前回のテストに関係なく、すべての人に推奨するポイントを検討します。これは、チェックした時点ではすでに脆弱性が解決されており、悪用されたかどうかを調べることができなかったためです。
SSL証明書を変更する
新しい秘密鍵に基づいてSSL証明書を変更し、古い証明書を取り消す必要があります。
これらの項目は非常に具体的です。 そして、それは証明書をどこで購入したかに依存します。
プライベート変数値を置き換える
- Drupal_private_keyの更新
hook_update()を使用
function your_module_update_X() { variable_set('drupal_private_key', drupal_random_key()); }
どちらかのチーム
drush eval “variable_set('drupal_private_key', drupal_random_key());”
- Drupal_hash_saltの更新
hook_update()を使用
function your_module_update_X() { variable_set('drupal_hash_salt', drupal_hash_base64(drupal_random_bytes(55))); }
どちらかのチーム
drush eval “variable_set('drupal_hash_salt', drupal_hash_base64(drupal_random_bytes(55)));”
SSO認証の秘密キーを置き換える
SSO認証を使用する場合は、秘密キーを置き換える必要があります。 たとえば、 ベーカリーモジュールの場合、キーはモジュール設定ページで置き換えることができます。
アクティブなセッションを削除する
これを行うには3つの方法があります。
- セッション有効期限モジュール
- DBターミナルまたはphpmyadminのsqlクエリ:
TRUNCATE TABLE sessions
- drushコマンド:
drush sqlq 'TRUNCATE TABLE sessions'
幅広いアクセス権を持つユーザー(およびできればすべてのユーザー)のパスワードをリセットする
ここでは、次のことをアドバイスできます。
- パスワードを変更する必要があることをユーザーに通知し、その認識を期待する
- ユーザーのパスワードを強制的に変更し、対応する通知をメールで送信します。 Mass Password Resetモジュールが役立ちます。
- あなたの意見では、前のオプションがユーザーにとって怖すぎる場合は、 パスワードポリシーモジュールを使用できます。 これを使用すると、すべてのパスワードを「期限切れ」にすることができます。つまり、次回認証するときにパスワードを変更する必要があります。 一般に、このモジュールを常に使用することをお勧めします。 これは、サイトのセキュリティを改善するためにAquaが推奨するモジュールのリストに含まれています。
それがすべてのようです。