7 strategie di sicurezza Drupal che devi implementare subito! (Include i migliori moduli di sicurezza Drupal 9)

La sicurezza del sito Web non è un obiettivo una tantum, ma un processo continuo che richiede un'attenzione costante. È sempre meglio prevenire un disastro che reagire a uno. Con un sito Web Drupal, puoi essere sicuro che il team di sicurezza di Drupal risolverà i problemi di sicurezza segnalati.

Drupal ha alimentato milioni di siti Web, molti dei quali gestiscono dati estremamente critici. Non sorprende che Drupal sia stato il CMS preferito per i siti Web che gestiscono informazioni critiche come siti Web governativi, istituti bancari e finanziari, negozi di e-commerce, ecc. Gli aggiornamenti e le funzionalità di sicurezza di Drupal affrontano tutti i 10 principali rischi per la sicurezza di OWASP (Open Web Application Security Project ).

Tuttavia, spetta in ultima analisi a te assicurarti che il tuo sito Web sia protetto seguendo le migliori pratiche di sicurezza e implementando strategie di sicurezza in continua evoluzione. Leggi di più per scoprire come.

Vulnerabilità della sicurezza di Drupal

Inutile dire che la comunità prende molto sul serio la sicurezza in Drupal e continua a rilasciare aggiornamenti/patch di sicurezza Drupal. Il team di sicurezza di Drupal è sempre proattivo e pronto con le patch anche prima che una vulnerabilità diventi pubblica. Ad esempio, il team di sicurezza di Drupal ha rilasciato l'aggiornamento della vulnerabilità della sicurezza - SA-CORE-2018-002 giorni prima che fosse effettivamente sfruttato (Drupalgeddon2). Le patch e gli aggiornamenti di sicurezza di Drupal sono stati presto rilasciati, consigliando agli amministratori del sito Drupal di aggiornare i loro siti web.

Citando Dries da uno dei suoi blog sulla vulnerabilità della sicurezza: “Il Drupal Security Team segue una "politica di divulgazione coordinata": i problemi rimangono privati ​​fino a quando non viene pubblicata una correzione. Viene fatto un annuncio pubblico quando la minaccia è stata affrontata ed è disponibile anche una versione sicura del core di Drupal. Anche quando viene resa disponibile una correzione di bug, il Drupal Security Team è molto premuroso con la sua comunicazione.“

Alcuni approfondimenti interessanti sulle statistiche di vulnerabilità di Drupal da CVE Details:

1. Mantieni la calma e resta aggiornato – Aggiornamenti di sicurezza Drupal

Il team di sicurezza di Drupal è sempre all'erta alla ricerca di vulnerabilità. Le patch / gli aggiornamenti di sicurezza Drupal vengono immediatamente rilasciati non appena ne trovano uno. Inoltre, dopo Drupal 8 e l'adozione dell'innovazione continua, i rilasci minori sono più frequenti. Ciò ha portato ad aggiornamenti Drupal facili e veloci di una versione migliore e più sicura.
Assicurarsi che la versione e i moduli di Drupal siano aggiornati è davvero il minimo che puoi fare per garantire la sicurezza del tuo sito web. I contributori di Drupal stanno sempre al passo con le cose e sono sempre alla ricerca di eventuali minacce alla sicurezza che potrebbero portare al disastro. Gli aggiornamenti di Drupal non includono solo nuove funzionalità, ma anche patch di sicurezza e correzioni di bug. Gli aggiornamenti e gli annunci di sicurezza di Drupal vengono pubblicati nelle e-mail degli utenti e gli amministratori del sito devono mantenere aggiornate le loro versioni per garantire la sicurezza.

2. Amministra i tuoi input

I siti Web interattivi di solito raccolgono input dagli utenti. In qualità di amministratori del sito web, a meno che tu non gestisca e gestisca questi input in modo appropriato, il tuo sito web è ad alto rischio per la sicurezza. Gli hacker possono iniettare codici SQL che possono causare gravi danni ai dati del tuo sito web.
Impedire ai tuoi utenti di inserire parole specifiche per SQL come "SELECT", "DROP" o "DELETE" potrebbe danneggiare l'esperienza utente del tuo sito web. Invece, con la sicurezza in Drupal, puoi utilizzare le funzioni di escape o di filtro disponibili nell'API del database per rimuovere e filtrare tali iniezioni SQL dannose. Sanitizzare il tuo codice è il passo più cruciale verso un sito web Drupal sicuro.

3. Drupal 9 Sicurezza

In che modo Drupal 9 aiuta a creare un sito Web più solido e sicuro?

• Symfony - Con Drupal 9 che adotta il framework Symfony, ha aperto le porte a molti più sviluppatori oltre a limitarli ai soli sviluppatori Drupal principali. Non solo Symfony è un framework più sicuro, ma ha anche portato più sviluppatori con diverse intuizioni per correggere bug e creare patch di sicurezza.
• Twig Templates – Come abbiamo appena discusso sulla sanificazione del codice per gestire meglio gli input, ecco per dirti che con Drupal è già stato risolto. Come? Grazie all'adozione di Twig da parte di Drupal 9 come motore di template. Con Twig, non avrai bisogno di alcun filtraggio aggiuntivo e fuga degli input poiché viene disinfettato automaticamente. Inoltre, l'applicazione da parte di Twig di livelli separati tra logica e presentazione, rende impossibile eseguire query SQL o utilizzare in modo improprio il livello del tema.
• WYSIWYG più sicuro - L'editor WYSIWYG in Drupal è un ottimo strumento di modifica per gli utenti, ma può anche essere utilizzato in modo improprio per eseguire attacchi come gli attacchi XSS. Con Drupal 9 che segue le migliori pratiche di sicurezza Drupal, ora consente di utilizzare solo formati HTML filtrati. Inoltre, per impedire agli utenti di utilizzare in modo improprio le immagini e per prevenire CSRF (falsificazione di richieste tra siti), il filtro del testo principale di Drupal consente agli utenti di utilizzare solo immagini locali.
• The Configuration Management Initiative (CMI) : questa iniziativa Drupal funziona alla grande per gli amministratori e i proprietari del sito in quanto consente loro di tenere traccia della configurazione nel codice. Eventuali modifiche alla configurazione del sito verranno monitorate e verificate, consentendo un controllo rigoroso sulla configurazione del sito web.

4. Scegli saggiamente i tuoi moduli Drupal

Prima di installare un modulo, assicurati di controllare quanto è attivo. Gli sviluppatori del modulo sono abbastanza attivi? Rilasciano spesso gli aggiornamenti di sicurezza di Drupal? È già stato scaricato o sei il primo capro espiatorio? Troverai tutti i dettagli menzionati in fondo alla pagina di download dei moduli. Assicurati inoltre che i tuoi moduli siano aggiornati e disinstalla quelli che non usi più.

5. Moduli di sicurezza Drupal in soccorso

Proprio come l'abbigliamento a strati funziona meglio di un pullover spesso per stare al caldo durante l'inverno, il tuo sito web è protetto al meglio con un approccio a strati. I moduli di sicurezza Drupal possono dare al tuo sito web un ulteriore livello di sicurezza attorno ad esso.

Aggiornamenti automatici

Questo è attualmente un modulo contribuito, ma presto passerà al core in Drupal 10. L'obiettivo dell'iniziativa sugli aggiornamenti automatici è fornire un modo semplice, sicuro e protetto per aggiornare automaticamente un sito Web Drupal. Aiuta ad aggiornare automaticamente il tuo sito con patch di base e versioni di sicurezza. Eventuali problemi durante il processo di aggiornamento vengono rilevati e segnalati in modo che tu non debba scoprirlo in seguito.

Sicurezza di accesso

Questo modulo garantisce la sicurezza in Drupal consentendo all'amministratore del sito di aggiungere varie restrizioni all'accesso degli utenti. Il modulo di sicurezza dell'accesso Drupal può limitare il numero di tentativi di accesso non validi prima di bloccare gli account. L'accesso può essere negato per gli indirizzi IP temporaneamente o permanentemente.

Autenticazione a due fattori

Con questo modulo di sicurezza Drupal, puoi aggiungere un ulteriore livello di autenticazione una volta che l'utente accede con un ID utente e una password. Come inserire un codice che è stato inviato al loro cellulare.

Politica password

Questo è un ottimo modulo di sicurezza Drupal che ti consente di aggiungere un altro livello di sicurezza ai tuoi moduli di accesso, prevenendo così bot e altre violazioni della sicurezza. Applica alcune restrizioni sulle password degli utenti, come vincoli sulla lunghezza, tipo di carattere, maiuscole/minuscole, punteggiatura, ecc. Inoltre, obbliga gli utenti a modificare regolarmente le proprie password (funzione di scadenza della password).

Prevenzione dell'enumerazione del nome utente

Per impostazione predefinita, Drupal ti consente di sapere se il nome utente inserito non esiste o esiste (se altre credenziali sono errate). Questo può essere ottimo se un hacker sta cercando di inserire nomi utente casuali solo per scoprirne uno effettivamente valido. Questo modulo abilita la sicurezza in Drupal e previene tali attacchi modificando il messaggio di errore standard.

Accesso ai contenuti

Come suggerisce il nome, questo modulo ti consente di fornire un controllo di accesso più dettagliato ai tuoi contenuti. Ogni tipo di contenuto può essere specificato con autorizzazioni di visualizzazione, modifica o eliminazione personalizzate. Puoi gestire le autorizzazioni per i tipi di contenuto in base al ruolo e all'autore.

Kit di sicurezza

Questo modulo di sicurezza Drupal offre molte funzionalità di gestione del rischio. Vulnerabilità come cross-site scripting (o sniffing), CSRF, Clickjacking, attacchi di intercettazione e altro possono essere facilmente gestite e mitigate con questo modulo di sicurezza Drupal 9.

Captcha

Per quanto odiamo dimostrare la nostra umanità, CAPTCHA è probabilmente uno dei migliori moduli di sicurezza Drupal in circolazione per filtrare gli spambot indesiderati. Questo modulo Drupal impedisce l'invio automatico di script da spambot e può essere utilizzato in qualsiasi modulo Web di un sito Web Drupal

6. Controlla le tue autorizzazioni

Drupal ti consente di avere più ruoli e utenti come amministratori, utenti autenticati, utenti anonimi, editori, ecc. Per ottimizzare la sicurezza del tuo sito web, a ciascuno di questi ruoli dovrebbe essere consentito di eseguire solo un certo tipo di lavoro. Ad esempio, a un utente anonimo dovrebbero essere concesse le autorizzazioni minime come la sola visualizzazione del contenuto. Una volta installato Drupal e/o aggiunto più moduli, non dimenticare di assegnare e concedere manualmente le autorizzazioni di accesso a ciascun ruolo.

7. Ottieni HTTPS

Scommetto che sapevi già che qualsiasi traffico trasmesso solo su un HTTP poteva essere intercettato e registrato da quasi chiunque. Informazioni come ID di accesso, password e altre informazioni sulla sessione possono essere acquisite e sfruttate da un utente malintenzionato. Se hai un sito di e-commerce, questo diventa ancora più critico in quanto si occupa di pagamenti e dettagli personali. L'installazione di un certificato SSL sul tuo server proteggerà la connessione tra l'utente e il server crittografando i dati trasferiti. Un sito Web HTTPS può anche migliorare il tuo posizionamento SEO, il che vale totalmente l'investimento.

Pensieri finali

Come dice il vecchio adagio: aspettati il ​​meglio ma pianifica il peggio. Per impostazione predefinita, Drupal è un framework di gestione dei contenuti molto sicuro, ma dovrai comunque implementare strategie di sicurezza e seguire le migliori pratiche di sicurezza di Drupal per dormire bene la notte. Drupal 9 porta con sé un intero nuovo gruppo di funzionalità di sicurezza per un sito Web più robusto e sicuro. Tuttavia, mantenere il tuo sito web aggiornato con gli aggiornamenti di sicurezza di Drupal è indispensabile. Scrivere un codice pulito e sicuro gioca un ruolo significativo nella sicurezza del tuo sito web. Scegli un'agenzia di sviluppo Drupal esperta in grado di fornirti strategie di sicurezza efficaci e servizi di implementazione.

Hai trovato utile questo articolo? Ecco un URL davvero minuscolo di questo articolo da copiare, incorporare o condividere:

bit.ly/3UPJbap

Fai clic per copiare l'URL negli appunti