Drupal Audit

Im Rahmen eines Audits wird ein Projekt bzw. einzelne Projektbestandteile (Module, Templates, API-Integrationen, Features,...) einem Review unterzogen. Ergebnis des Audits ist eine ausführliche schriftliche Dokumentation samt einem Katalog an Handlungsempfehlungen.

Die Handlungsempfehlungen sind in folgende Kategorien unterteilt:

  • Level 1 - notwendig für einen sicheren Betrieb der Seite (Beispiel: fehlendes Sicherheitsupdate)
  • Level 2 - empfohlen für einen optimalen Betrieb der Seite (Beispiel: nicht verwendete Module sind installiert)
  • Level 3 - empfohlen für Projekte die aktiv weiterentwickelt bzw. gewartet werden (Beispiel: Custom-Code ist nicht kommentiert/dokumentiert)

Essentieller Teil des Audits ist ein Security-Check der beginnend bei der Server-Konfiguration bis hin zur Analyse von Custom-Code potentielle Risiken aufdeckt. Zusätzlich wird das gesamte System auf seine Update-Fähigkeit untersucht, damit künftig Sicherheitsupdates problemlos eingespielt werden können.

Bei einem 2017 durchgeführten Audit für ein österreichisches Unternehmen (Telekommunikation) wurden beispielsweise folgende Level 1 Empfehlungen ausgesprochen (Auszug):

This file exposes the complete php config to the public and should be removed or secured properly.

Update to the last security release (7.56).

Update modules for which a security-update is available: SMTP Authentication Support (smtp), References (references).

Undo all changes in contrib modules and use the Drupal way of modifying templates, CSS and functionality. Otherwise site functionality and/or appearance may change if a module is updated.

Update the database properly, otherwise this can cause a breakdown of the production site.

Files should be secured properly.

Features that are not finished should not be available on the live-site.

Before the recommendation above is not implemented, do not update the theme. This would cause a complete breakdown of the site.

Weiters wurden über 50 Level 2 und Level 3 Empfehlungen ausgesprochen. Auf Basis des Audits wurde dann seitens des Dienstleisters nachgebessert und alle Level 1 Empfehlungen wurden umgesetzt.