Drupal es un popular sistema de administración de contenido de código abierto que impulsa a más de 1,000,000 en todo el mundo, incluida la tienda BBC. FOX, Al Jazeera, Lady Gaga, Bruno Mars, Cisco, la NBA y similares. Sin embargo, debido a su popularidad y amplio uso, los hackers siempre buscan vulnerabilidades y, por lo tanto, las prácticas de seguridad en Drupal con módulos es crucial.
En este artículo, presentaré las mejores prácticas de seguridad en Drupal con para este CMS.
Asegúrese de que su inicio de sesión sea seguro
Comencemos con el primer paso. Inicio de sesión: la entrada a su sitio de Drupal y la primera línea de defensa contra los piratas informáticos. Entonces, ¿cómo asegurar su inicio de sesión de Drupal? Aquí es cuando los módulos drupal vienen a ayudar. Puede descargarlos e instalarlos para que el inicio de sesión sea más seguro.
Los módulos de seguridad de Drupal que puede descargar:
Login Security. Este módulo Drupal protege el inicio de sesión al restringir múltiples intentos fallidos de inicio de sesión. Otros beneficios que los módulos permiten son:
- Bloquear de manera permanente o temporal una dirección IP
- Le permite configurar notificaciones en caso de fuerza bruta
- Reemplaza los mensajes de inicio de sesión principales de Drupal para evitar mostrar el motivo por el que no se autentica al usuario: esto hace que sea más difícil para el hacker adivinar si la cuenta existe.
Obtenga el módulo aquí: http://drupal.org/project/login_security
Flood Control. Prácticamente ofrece lo mismo.
Obtenga el módulo aquí: https://www.drupal.org/project/flood_control
Password Policy. Este módulo le permite:
- Establezca restricciones para la creación de contraseñas, incluidos los caracteres especiales, la letra mayúscula, la longitud de la contraseña, etc.
- Evitar la reutilización de contraseñas antiguas
- Establecer el tiempo de caducidad para contraseñas
Obtenga el módulo aquí: https://www.drupal.org/project/password_policy
Aprieta la seguridad en tus páginas
Desea asegurarse de que esta protegido contra los ataques en su pagina web.
Los módulos de seguridad Drupal que puedes descargar:
Paranoia. El módulo Paranoia de Drupal detecta automáticamente lugares en su aplicación que permiten a los usuarios evaluar PHP y bloquearlo, bloqueando potencialmente un ataque a través de códigos PHP para obtener acceso a sitios Drupal. Esto evita que un pirata informático obtenga un permiso elevado en su sitio web. Sin embargo, esto no debe usarse en producción.
Las características de este módulo incluyen permiso para deshabilitar:
- Concesión del permiso «usar PHP para visibilidad del bloque»
- Creación de formatos de entrada que usan el filtro PHP
- Editando la cuenta de usuario # 1
- Concesión de permisos arriesgados
Obtenga el módulo aquí: https://www.drupal.org/project/paranoia
Use HTTPS para proteger sus enlaces
El tráfico transmitido a través de http: // en su dominio puede ser rastreado, pirateado y grabado por cualquier persona. Desea asegurarse de proteger su sitio Drupal contra dichos incumplimientos para proteger información valiosa como detalles de tarjetas de crédito, identificaciones de transacciones, etc.
El módulo de seguridad Drupal puede descargarlo:
Secure Kit. XFS (crossframe scripting) es un módulo de Drupal que lo ayuda a proteger incluso sus enlaces HTTPS.
Este módulo agrega seguridad contra varias amenazas de seguridad a los HTTP desde ataques de falsificación de solicitudes entre sitios en la aplicación.
- Funciona en Safari, Google Chrome
- Impide el aumento de contenido
- Agrega respuestas HTTP con opciones de X-Frame para evitar clickjacking
- Ayuda a implementar HTTPs
- Ayuda a implementar la Política de seguridad de contenido
Obtenga el módulo aquí: https://www.drupal.org/project/seckit
Llevar a cabo auditorias regulares en todo el sitio
Debido a que Drupal permite mucho a través de la configuración (que es un punto positivo), también es un inconveniente ya que expone el sitio web a vulnerabilidades a través de configuraciones.
Una buena práctica es realizar regularmente comprobaciones de auditoría en la configuración de su sitio y en las pantallas de permisos.
El módulo de seguridad Drupal puede descargarlo:
Security Review. Es fantástico para probar problemas de seguridad en sus sitios Drupal. El módulo es fácil de usar. Sin embargo, no debería usarse en producción. Puede verificar estas cosas:
- Prueba de permisos del sistema para evitar la ejecución de código arbitrario
- Protección contra XSS
- Proporciona informes de errores seguros
- Asegura archivos privados
- Permite la instalación de extensiones marcadas como «seguras»
- Verifica los errores de la base de datos y los intentos fallidos de inicio de sesión
- Protege contra el forzamiento bruto de la contraseña
- Protege contra el phishing
- Verifica el control de acceso del usuario
Obtenga el módulo aquí: https://www.drupal.org/project/security_review
Hacer un control regular de su código también es importante para mantener su sitio seguro. Un error en su código podría exponer su sitio a brechas de seguridad.
Autenticación de factor 2 es una buena apuesta
Nosotros, en NeoCloudHost tenemos un inicio de sesión de Autenticación de 2 factores. Si bien un inicio de sesión sin este paso implica la autenticación de su identidad solo con su nombre de usuario y contraseña (que pueden comprometer fácilmente), un factor doble, como su nombre lo indica, le solicita que envíe una verificación adicional, como un código de verificación enviado a su dispositivo móvil, número, etc.
Los módulos de Drupal que puedes descargar:
Two Factor Authentication
- Funciona con ilimitado no. de terceros
- Proporciona control de inundaciones
- Ha sido probado más de cien veces
Obtenga el módulo aquí: https://www.drupal.org/project/tfa
Nos encantaría saber cómo utilizaría estos módulos de seguridad drupal para proteger los sitios web de Drupal. Estén atentos para más información sobre cómo proteger los sitios de otros CMS como: WordPress, Joomla.
