Experts en Drupal

Mòduls Drupal per augmentar la seguretat (Part 2)

Continuem repassant els mòduls per a Drupal que ens permeten protegir millor les nostres pàgines webs.

Mòduls Drupal per augmentar la seguretat (Part 2)

Quins mòduls de Drupal faran més segura la meva pàgina web?

  • Password Policy: és un mòdul que ens permet definir polítiques de contrasenyes per a tots els usuaris que tinguin un rol determinat. Per exemple, ens permet definir com han de ser les contrasenyes: tipus de caràcters i quantitat mínima, majúscules/minúscules i quantitat mínima, etc. A més a més, ens permet definir els dies durant els quals una contrasenya serà vàlida (un cop ha expirat una contrasenya es força l’usuari a posar-ne una de nova). Finalment, permet als administradors forçar manualment el canvi de contrasenya a tots els usuaris d’un rol en concret.
  • Hacked: aquest mòdul és una eina que ens permet detectar si algú ha modificat els fitxers de la nostra instal·lació de Drupal (nucli, mòduls i temes). Per saber quins són els fitxers que s’han modificat al servidor, els compara amb la versió original que es baixa automàticament de drupal.org. Hem de tenir en compte que podrien sortir falsos positius si, per exemple, tenim aplicat algun “parche”, hem fet alguna personalització al codi o bé si hem modificat algun fitxer de configuració.
  • Username Enumeration Prevention: quan visitem la pàgina per recuperar la contrasenya de Drupal, si posem un nom d’usuari o un email, Drupal ens envia un correu per recuperar la contrasenya. Però si el nom d’usuari o l’email no existeixen Drupal ens ho notifica clarament. Per tant, això proporciona als usuaris anònims un mètode per determinar si un usuari existeix o no. En efecte, anant fent proves podrien arribar a descobrir un nom d’usuari vàlid amb el que posteriorment podrien intentar entrar mitjançant un atac de força bruta. En efecte, aquest mòdul ens permet evitar tot això.
  • Security Kit: aquest mòdul permet mitigar els riscos de les vulnerabilitats pròpies de les aplicacions web com el Cross-site Scripting, Cross-site Request Forgery i el Clickjacking. Per protegir-nos de tot això el mòdul ens permet definir una Content Security Policy que és compatible amb la majoria de navegadors. Un cop activada, a la capçalera de les peticions HTTP s’afegeixen unes variables addicionals on s’indiquen els orígens que considerem lícits per als scripts, fulles d’estils, iframes, etc.

Comparteix aquest article

Articles Relacionats