7 estratégias de segurança do Drupal que você precisa implementar imediatamente! (Inclui os principais módulos de segurança do Drupal 9)

A segurança do site não é uma meta única, mas um processo contínuo que requer atenção constante. É sempre melhor prevenir um desastre do que responder a um. Com um site Drupal, você pode ter certeza de que a equipe de segurança do Drupal resolverá os problemas de segurança relatados.

O Drupal alimentou milhões de sites, muitos dos quais lidam com dados extremamente críticos. Sem surpresa, o Drupal tem sido o CMS escolhido para sites que lidam com informações críticas, como sites do governo, bancos e instituições financeiras, lojas de comércio eletrônico, etc. ).

No entanto, a responsabilidade recai sobre você em garantir que seu site seja seguro, seguindo as práticas recomendadas de segurança e implementando estratégias de segurança em constante evolução. Leia mais para descobrir como.

Vulnerabilidades de segurança do Drupal

Nem é preciso dizer que a comunidade leva a segurança no Drupal muito a sério e continua lançando atualizações/patches de segurança do Drupal. A equipe de segurança do Drupal é sempre proativa e pronta com patches, mesmo antes de uma vulnerabilidade se tornar pública. Por exemplo, a equipe de segurança do Drupal lançou a atualização de vulnerabilidade de segurança - SA-CORE-2018-002 dias antes de ser realmente explorada (Drupalgeddon2). Patches e atualizações de segurança do Drupal logo foram lançados, aconselhando os administradores do site Drupal a atualizar seus sites.

Citando Dries em um de seus blogs sobre a vulnerabilidade de segurança – “A equipe de segurança do Drupal segue uma "política de divulgação coordenada": os problemas permanecem privados até que haja uma correção publicada. Um anúncio público é feito quando a ameaça foi abordada e uma versão segura do núcleo do Drupal também está disponível. Mesmo quando uma correção de bug é disponibilizada, a equipe de segurança do Drupal é muito cuidadosa com sua comunicação.“

Alguns insights interessantes sobre as estatísticas de vulnerabilidade do Drupal por CVE Details:

1. Mantenha a calma e mantenha-se atualizado – Atualizações de segurança do Drupal

A equipe de segurança do Drupal está sempre atenta às vulnerabilidades. Patches/atualizações de segurança do Drupal são lançadas imediatamente assim que são encontradas. Além disso, após o Drupal 8 e a adoção da inovação contínua, os lançamentos menores são mais frequentes. Isso levou a atualizações fáceis e rápidas do Drupal de uma versão melhor e mais segura.
Certificar-se de que sua versão e módulos do Drupal estão atualizados é realmente o mínimo que você pode fazer para garantir a segurança do seu site. Os contribuidores do Drupal estão sempre atualizados e procurando por ameaças de segurança que possam significar um desastre. As atualizações do Drupal não vêm apenas com novos recursos, mas também com patches de segurança e correções de bugs. As atualizações e anúncios de segurança do Drupal são postados nos e-mails dos usuários e os administradores do site devem manter suas versões atualizadas para garantir a segurança.

2. Administre suas entradas

Sites interativos geralmente coletam informações dos usuários. Como administradores do site, a menos que você gerencie e manipule essas entradas adequadamente, seu site corre um risco de segurança elevado. Os hackers podem injetar códigos SQL que podem causar grandes danos aos dados do seu site.
Impedir que seus usuários insiram palavras específicas do SQL como “SELECT”, “DROP” ou “DELETE” pode prejudicar a experiência do usuário em seu site. Em vez disso, com a segurança do Drupal, você pode usar as funções de escape ou filtragem disponíveis na API do banco de dados para remover e filtrar essas injeções de SQL prejudiciais. Sanitizar seu código é a etapa mais crucial para um site Drupal seguro.

3. Segurança do Drupal 9

Como o Drupal 9 está ajudando na construção de um site mais robusto e seguro?

• Symfony – Com o Drupal 9 adotando a estrutura do Symfony, ele abriu portas para muito mais desenvolvedores além de limitá-los apenas aos principais desenvolvedores do Drupal. O Symfony não é apenas uma estrutura mais segura, mas também trouxe mais desenvolvedores com percepções diferentes para corrigir bugs e criar patches de segurança.
• Twig Templates – Como acabamos de discutir sobre a limpeza do seu código para lidar melhor com as entradas, aqui está para dizer que com o Drupal, isso já foi resolvido. Como? Graças à adoção do Twig pelo Drupal 9 como seu mecanismo de modelagem. Com o Twig, você não precisará de nenhuma filtragem adicional e escape de entradas, pois ele é automaticamente higienizado. Além disso, a imposição do Twig de camadas separadas entre lógica e apresentação torna impossível executar consultas SQL ou fazer mau uso da camada de tema.
• WYSIWYG mais seguro - O editor WYSIWYG no Drupal é uma ótima ferramenta de edição para os usuários, mas também pode ser mal utilizado para realizar ataques como ataques XSS. Com o Drupal 9 seguindo as melhores práticas de segurança do Drupal, ele agora permite o uso apenas de formatos HTML filtrados. Além disso, para evitar que os usuários façam uso indevido de imagens e para evitar CSRF (falsificação de solicitação entre sites), a filtragem de texto principal do Drupal permite que os usuários usem apenas imagens locais.
• A Iniciativa de Gerenciamento de Configuração (CMI) – Esta iniciativa do Drupal funciona muito bem para administradores e proprietários de sites, pois permite que eles rastreiem a configuração no código. Quaisquer alterações na configuração do site serão rastreadas e auditadas, permitindo um controle estrito sobre a configuração do site.

4. Escolha seus módulos Drupal com sabedoria

Antes de instalar um módulo, verifique se ele está ativo. Os desenvolvedores do módulo são ativos o suficiente? Eles lançam atualizações de segurança do Drupal com frequência? Já foi baixado antes ou você é o primeiro bode expiatório? Você encontrará todos os detalhes mencionados na parte inferior da página de download dos módulos. Certifique-se também de que seus módulos estejam atualizados e desinstale os que você não usa mais.

5. Módulos de segurança Drupal para o resgate

Assim como roupas em camadas funcionam melhor do que um pulôver grosso para se aquecer durante o inverno, seu site fica mais bem protegido em uma abordagem em camadas. Os módulos de segurança do Drupal podem fornecer ao seu site uma camada extra de segurança em torno dele.

Atualizações automáticas

Este é atualmente um módulo de contribuição, mas em breve passará para o núcleo no Drupal 10. O objetivo da iniciativa de atualizações automáticas é fornecer uma maneira fácil, segura e segura de atualizar um site Drupal automaticamente. Ele ajuda a atualizar automaticamente seu site com patches básicos e lançamentos de segurança. Quaisquer problemas durante o processo de atualização são detectados e relatados para que você não precise descobrir mais tarde.

Segurança de login

Este módulo garante a segurança no Drupal, permitindo que o administrador do site adicione várias restrições ao login do usuário. O módulo de segurança de login do Drupal pode restringir o número de tentativas de login inválidas antes de bloquear contas. O acesso pode ser negado para endereços IP temporária ou permanentemente.

Autenticação de dois fatores

Com este módulo de segurança do Drupal, você pode adicionar uma camada extra de autenticação assim que o usuário fizer login com um ID de usuário e senha. Como digitar um código que foi enviado para o celular.

Política de senha

Este é um ótimo módulo de segurança do Drupal que permite adicionar outra camada de segurança aos seus formulários de login, evitando bots e outras violações de segurança. Ele impõe certas restrições às senhas do usuário – como restrições de comprimento, tipo de caractere, maiúsculas/minúsculas), pontuação, etc. Também força os usuários a alterar suas senhas regularmente (recurso de expiração de senha).

Prevenção de enumeração de nome de usuário

Por padrão, o Drupal permite que você saiba se o nome de usuário digitado não existe ou existe (se outras credenciais estiverem erradas). Isso pode ser ótimo se um hacker estiver tentando inserir nomes de usuário aleatórios apenas para descobrir um que seja realmente válido. Este módulo habilita a segurança no Drupal e previne tais ataques alterando a mensagem de erro padrão.

Acesso ao conteúdo

Como o nome sugere, este módulo permite que você forneça um controle de acesso mais detalhado ao seu conteúdo. Cada tipo de conteúdo pode ser especificado com permissões personalizadas de exibição, edição ou exclusão. Você pode gerenciar permissões para tipos de conteúdo por função e autor.

kit de segurança

Este módulo de segurança do Drupal oferece muitos recursos de gerenciamento de risco. Vulnerabilidades como cross-site scripting (ou sniffing), CSRF, Clickjacking, ataques de espionagem e muito mais podem ser facilmente tratadas e mitigadas com este módulo de segurança do Drupal 9.

CAPTCHA

Por mais que odiemos provar nossa humanidade, o CAPTCHA é provavelmente um dos melhores módulos de segurança do Drupal para filtrar spambots indesejados. Este módulo Drupal evita envios automatizados de scripts de spambots e pode ser usado em qualquer formulário da web de um site Drupal

6. Verifique suas permissões

O Drupal permite que você tenha várias funções e usuários, como administradores, usuários autenticados, usuários anônimos, editores, etc. Para ajustar a segurança do seu site, cada uma dessas funções deve ter permissão para executar apenas um determinado tipo de trabalho. Por exemplo, um usuário anônimo deve receber o mínimo de permissões, como apenas visualizar conteúdo. Depois de instalar o Drupal e/ou adicionar mais módulos, não se esqueça de atribuir manualmente e conceder permissões de acesso a cada função.

7. Obtenha HTTPS

Aposto que você já sabia que qualquer tráfego transmitido apenas por um HTTP poderia ser espionado e registrado por quase qualquer pessoa. Informações como seu ID de login, senha e outras informações de sessão podem ser capturadas e exploradas por um invasor. Se você possui um site de comércio eletrônico, isso se torna ainda mais crítico, pois lida com pagamentos e detalhes pessoais. A instalação de um certificado SSL em seu servidor protegerá a conexão entre o usuário e o servidor criptografando os dados que são transferidos. Um site HTTPS também pode melhorar sua classificação de SEO – o que faz com que valha totalmente a pena o investimento.

Pensamentos finais

Como diz o velho ditado - Espere o melhor, mas planeje o pior. Por padrão, o Drupal é uma estrutura de gerenciamento de conteúdo muito segura, mas você ainda precisará implementar estratégias de segurança e seguir as práticas recomendadas de segurança do Drupal para uma boa noite de sono. O Drupal 9 traz um novo conjunto de recursos de segurança para um site mais robusto e seguro. No entanto, manter seu site atualizado com as atualizações de segurança do Drupal é indispensável. Escrever um código limpo e seguro desempenha um papel significativo na segurança do seu site. Escolha uma agência de desenvolvimento Drupal especializada que possa fornecer estratégias de segurança eficazes e serviços de implementação.

Achou este artigo útil? Aqui está um pequeno URL deste artigo para você copiar, incorporar ou compartilhar:

bit.ly/3UPJbap

Clique para copiar o URL para a área de transferência