Die Daten install.php aus dem Hauptverzeichnis löschen

Private Download-Methode verwenden

Um zu verhindert, dass direkt über den Webserver Dateien herunterladen werden können, die eigentlich nur für bestimmte Rollen bestimmt sind, muss die unter den Dateisystem Einstellungen die Download-Methode Privat - Dateien werden von Drupal übermittelt festgelegt werden.

Auf die Datei sites/default/settings.php sollte nur der Webserver Leserechte besitzen- weitere Rechte werden hier nicht benötigt.

Mit folgenden Befehl kann man über ssh die Zugriffsrechte festlegen (auszuführen im Drupal Hauptverzeichnis):

Diese Einstellung kann aber auch über einen FTP Programm gemacht werden, indem man bei Besitzer und Gruppe Leserechte aktiviert, alle anderen Zugriffsrechte werden deaktiviert.
Ab Drupal Version 5 wird auch eine optische Warnung im Adminbereich ausgegeben, falls der Webserver Schreibrechte auf dieser Datei besitzen sollte.

Alle Module, die nicht benötigt werden, sollten deaktiviert werden, da jedes einzelne Modul ein potentielles Sicherheitsrisiko darstellen kann.

Wenn es sich bei den nicht benötigten Modulen um manuell aufgespielte Module handelt (ab Drupal Version 5 sind diese zentral im Verzeichnis sites/all/modules zu finden), dann können diese Module auch gelöscht werden.
Positiver Begleiteffekt ist, dass Drupal auch an Performance zulegt, wenn weniger Module aktiv sind!

Empfohlen: update_status Modul

Dieses Modul ist ab Drupal Version 5 verfügbar. Das Modul überprüft die Versionsnummer von Drupal und von allen installierten Modulen und überprüft, ob neuer Version vorliegen. Falls neue Versionen verfügbar sind, wird eine optische Warnmeldung im Adminbereich ausgegeben. Ein absolut geniales Modul, mit den man kein Update mehr übersieht. Vor allem spart es ungemein an Zeitbedarf, da man die manuelle Versions-Überprüfung der einzelnen Module nicht mehr durchführen muss. Deshalb empfehle ich sehr dieses Modul zu installieren.