¡7 estrategias de seguridad de Drupal que debe implementar de inmediato! (Incluye los mejores módulos de seguridad de Drupal 9)
Publicado: 2022-12-13La seguridad del sitio web no es un objetivo de una sola vez, sino un proceso continuo que necesita atención constante. Siempre es mejor prevenir un desastre que responder a uno. Con un sitio web de Drupal, puede estar seguro de que el equipo de seguridad de Drupal resolverá los problemas de seguridad informados.
Drupal ha impulsado millones de sitios web, muchos de los cuales manejan datos extremadamente críticos. Como era de esperar, Drupal ha sido el CMS elegido por los sitios web que manejan información crítica, como sitios web gubernamentales, instituciones bancarias y financieras, tiendas de comercio electrónico, etc. Las funciones y actualizaciones de seguridad de Drupal abordan los 10 principales riesgos de seguridad de OWASP (Open Web Application Security Project). ).
Sin embargo, en última instancia, la responsabilidad de garantizar que su sitio web sea seguro es suya, siguiendo las mejores prácticas de seguridad e implementando estrategias de seguridad en constante evolución. Lea más para saber cómo.
Vulnerabilidades de seguridad de Drupal
No hace falta decir que la comunidad se toma muy en serio la seguridad en Drupal y sigue publicando actualizaciones/parches de seguridad de Drupal. El equipo de seguridad de Drupal siempre es proactivo y está listo con parches incluso antes de que una vulnerabilidad se haga pública. Por ejemplo, el equipo de seguridad de Drupal publicó la actualización de vulnerabilidad de seguridad SA-CORE-2018-002 días antes de que se explotara realmente (Drupalgeddon2). Pronto se lanzaron parches y actualizaciones de seguridad de Drupal, que aconsejaban a los administradores de sitios de Drupal que actualizaran sus sitios web.
Citando a Dries de uno de sus blogs sobre la vulnerabilidad de seguridad: “El equipo de seguridad de Drupal sigue una "política de divulgación coordinada": los problemas permanecen privados hasta que se publica una solución. Se hace un anuncio público cuando se ha abordado la amenaza y también está disponible una versión segura del núcleo de Drupal. Incluso cuando se pone a disposición una corrección de errores, el equipo de seguridad de Drupal es muy atento con su comunicación.“
Algunas ideas interesantes sobre las estadísticas de vulnerabilidad de Drupal por CVE Details:
1. Mantenga la calma y manténgase actualizado: actualizaciones de seguridad de Drupal
El equipo de seguridad de Drupal siempre está alerta buscando vulnerabilidades. Los parches/actualizaciones de seguridad de Drupal se publican inmediatamente tan pronto como se encuentran. Además, después de Drupal 8 y la adopción de la innovación continua, los lanzamientos menores son más frecuentes. Esto ha llevado a actualizaciones de Drupal fáciles y rápidas de una versión mejor y más segura.
Asegurarse de que su versión y módulos de Drupal estén actualizados es realmente lo mínimo que puede hacer para garantizar la seguridad de su sitio web. Los colaboradores de Drupal se mantienen al tanto de las cosas y siempre están buscando cualquier amenaza de seguridad que pueda significar un desastre. Las actualizaciones de Drupal no solo incluyen nuevas funciones, sino también parches de seguridad y correcciones de errores. Las actualizaciones de seguridad y los anuncios de Drupal se publican en los correos electrónicos de los usuarios y los administradores del sitio deben mantener sus versiones actualizadas para garantizar la seguridad.
2. Administra tus insumos
Los sitios web interactivos generalmente recopilan información de los usuarios. Como administradores de sitios web, a menos que administre y maneje estas entradas de manera adecuada, su sitio web corre un alto riesgo de seguridad. Los piratas informáticos pueden inyectar códigos SQL que pueden causar un gran daño a los datos de su sitio web.
Evitar que sus usuarios ingresen palabras específicas de SQL como "SELECCIONAR", "SOLTAR" o "ELIMINAR" podría dañar la experiencia del usuario de su sitio web. En cambio, con la seguridad en Drupal, puede usar las funciones de escape o filtrado disponibles en la API de la base de datos para eliminar y filtrar dichas inyecciones SQL dañinas. Desinfectar su código es el paso más crucial hacia un sitio web seguro de Drupal.
3. Seguridad de Drupal 9
¿Cómo ayuda Drupal 9 a construir un sitio web más sólido y seguro?
- Symfony : con Drupal 9 adoptando el marco Symfony, abrió las puertas a muchos más desarrolladores además de limitarlos solo a los desarrolladores principales de Drupal. Symfony no solo es un marco más seguro, sino que también atrajo a más desarrolladores con diferentes conocimientos para corregir errores y crear parches de seguridad.
- Plantillas Twig : como acabamos de discutir sobre la desinfección de su código para manejar mejor las entradas, aquí hay que decirle que con Drupal, ya se ha solucionado. ¿Cómo? Gracias a la adopción de Twig por parte de Drupal 9 como su motor de plantillas. Con Twig, no necesitará ningún filtrado adicional ni escape de entradas, ya que se desinfecta automáticamente. Además, la aplicación de Twig de capas separadas entre la lógica y la presentación hace que sea imposible ejecutar consultas SQL o hacer un mal uso de la capa del tema.
- WYSIWYG más seguro : el editor WYSIWYG en Drupal es una excelente herramienta de edición para los usuarios, pero también puede usarse incorrectamente para llevar a cabo ataques como ataques XSS. Con Drupal 9 siguiendo las mejores prácticas de seguridad de Drupal, ahora permite usar solo formatos HTML filtrados. Además, para evitar que los usuarios hagan un mal uso de las imágenes y para evitar CSRF (falsificación de solicitudes entre sitios), el filtrado de texto central de Drupal permite a los usuarios usar solo imágenes locales.
- La Iniciativa de gestión de la configuración (CMI) : esta iniciativa de Drupal funciona muy bien para los administradores y propietarios de sitios, ya que les permite realizar un seguimiento de la configuración en el código. Cualquier cambio en la configuración del sitio será rastreado y auditado, lo que permite un control estricto sobre la configuración del sitio web.
4. Elija sabiamente sus módulos de Drupal
Antes de instalar un módulo, asegúrese de ver qué tan activo es. ¿Los desarrolladores de módulos son lo suficientemente activos? ¿Lanzan actualizaciones de seguridad de Drupal con frecuencia? ¿Se ha descargado antes o eres el primer chivo expiatorio? Encontrará todos los detalles mencionados en la parte inferior de la página de descarga de los módulos. También asegúrese de que sus módulos estén actualizados y desinstale los que ya no usa.
5. Módulos de seguridad de Drupal al rescate
Al igual que la ropa en capas funciona mejor que un suéter grueso para mantener el calor durante el invierno, su sitio web está mejor protegido con un enfoque en capas. Los módulos de seguridad de Drupal pueden darle a su sitio web una capa adicional de seguridad a su alrededor.
Actualizaciones automáticas
Actualmente, este es un módulo contribuido, pero pronto pasará al núcleo en Drupal 10. El objetivo de la iniciativa de actualizaciones automáticas es proporcionar una manera fácil, segura y segura de actualizar un sitio web de Drupal automáticamente. Ayuda a actualizar automáticamente su sitio con parches básicos y versiones de seguridad. Cualquier problema durante el proceso de actualización se detecta y se informa para que no tenga que averiguarlo más tarde.
Seguridad de inicio de sesión
Este módulo garantiza la seguridad en Drupal al permitir que el administrador del sitio agregue varias restricciones al inicio de sesión del usuario. El módulo de seguridad de inicio de sesión de Drupal puede restringir la cantidad de intentos de inicio de sesión no válidos antes de bloquear las cuentas. Se puede denegar el acceso a las direcciones IP de forma temporal o permanente.
Autenticación de dos factores
Con este módulo de seguridad de Drupal, puede agregar una capa adicional de autenticación una vez que su usuario inicie sesión con una identificación de usuario y una contraseña. Como ingresar un código que ha sido enviado a su teléfono móvil.
Política de contraseñas
Este es un excelente módulo de seguridad de Drupal que le permite agregar otra capa de seguridad a sus formularios de inicio de sesión, evitando así los bots y otras infracciones de seguridad. Hace cumplir ciertas restricciones en las contraseñas de los usuarios, como restricciones en la longitud, tipo de carácter, mayúsculas y minúsculas, puntuación, etc. También obliga a los usuarios a cambiar sus contraseñas con regularidad (función de caducidad de la contraseña).
Prevención de enumeración de nombre de usuario
De forma predeterminada, Drupal le permite saber si el nombre de usuario ingresado no existe o existe (si otras credenciales son incorrectas). Esto puede ser excelente si un pirata informático intenta ingresar nombres de usuario aleatorios solo para encontrar uno que sea realmente válido. Este módulo habilita la seguridad en Drupal y evita tales ataques al cambiar el mensaje de error estándar.
Acceso al contenido
Como sugiere el nombre, este módulo le permite brindar un control de acceso más detallado a su contenido. Cada tipo de contenido se puede especificar con permisos personalizados para ver, editar o eliminar. Puede administrar permisos para tipos de contenido por rol y autor.
Kit de seguridad
Este módulo de seguridad de Drupal ofrece muchas características de gestión de riesgos. Vulnerabilidades como cross-site scripting (o sniffing), CSRF, Clickjacking, ataques de espionaje y más pueden manejarse y mitigarse fácilmente con este módulo de seguridad de Drupal 9.
captcha
Por mucho que odiemos demostrar nuestra humanidad, CAPTCHA es probablemente uno de los mejores módulos de seguridad de Drupal que existen para filtrar spambots no deseados. Este módulo de Drupal evita el envío automático de secuencias de comandos de los robots de spam y se puede utilizar en cualquier forma web de un sitio web de Drupal.
6. Verifique sus permisos
Drupal le permite tener múltiples roles y usuarios como administradores, usuarios autenticados, usuarios anónimos, editores, etc. Para ajustar la seguridad de su sitio web, cada uno de estos roles debe poder realizar solo un cierto tipo de trabajo. Por ejemplo, a un usuario anónimo se le deben otorgar los permisos mínimos, como solo ver contenido. Una vez que instale Drupal y/o agregue más módulos, no olvide asignar manualmente y otorgar permisos de acceso a cada rol.
7. Obtén HTTPS
Apuesto a que ya sabía que cualquier tráfico transmitido a través de HTTP podría ser espiado y registrado por casi cualquier persona. Un atacante puede obtener y explotar información como su ID de inicio de sesión, contraseña y otra información de la sesión. Si tiene un sitio web de comercio electrónico, esto se vuelve aún más crítico ya que se trata de pagos y datos personales. La instalación de un certificado SSL en su servidor asegurará la conexión entre el usuario y el servidor mediante el cifrado de los datos que se transfieren. Un sitio web HTTPS también puede mejorar su clasificación SEO, lo que hace que la inversión valga la pena.
Pensamientos finales
Como dice el viejo adagio: espere lo mejor pero planifique para lo peor. De manera predeterminada, Drupal es un marco de administración de contenido muy seguro, pero aún deberá implementar estrategias de seguridad y seguir las mejores prácticas de seguridad de Drupal para una buena noche de sueño. Drupal 9 trae un conjunto completamente nuevo de funciones de seguridad para un sitio web más sólido y seguro. No obstante, mantener tu sitio web actualizado con las actualizaciones de seguridad de Drupal es indispensable. Escribir código limpio y seguro juega un papel importante en la seguridad de su sitio web. Elija una agencia experta en desarrollo de Drupal que pueda brindarle estrategias de seguridad efectivas y servicios de implementación.
¿Encontró este artículo útil? Aquí hay una URL muy pequeña de este artículo para que la copie, incruste o comparta:
bit.ly/3UPJbap
Haga clic para copiar la URL a su portapapeles