Experts en Drupal

Seguretat a Drupal

La seguretat als llocs webs Drupal depèn sobretot de que mantinguem actualitzat a la última versió el nucli de Drupal i tots els mòduls contribuïts. No obstant, la seguretat també la podem millorar amb altres accions complementàries que analitzarem a continuació.

seguretat a drupal
Roger Codina
Roger Codina

desembre 14, 2020

Seguretat a Drupal

El Drupal Security Team és un equip de la comunitat de drupal.org que s’encarrega constantment de revisar el codi font del nucli de Drupal i dels seus mòduls contribuïts per tal d’avaluar-ne la seva seguretat. A llarg del temps, van corregint vulnerabilitats de seguretat del nucli i es cuiden d’informar als responsables de mòduls contribuïts perquè les corregeixin. A la pàgina administrativa d’actualitzacions de Drupal (DRUPAL_URL/admin/modules/update), distingirem una actualització de seguretat d’una actualització estàndard perquè la primera surt amb un color vermell de fons. És molt important que anem instal·lant les actualitzacions de seguretat a mesura que van sortint. En efecte, encara que creiem que una vulnerabilitat coneguda del nostre lloc web potser no ens afecta directament, podria ser utilitzada per algú per escalar privilegis al nostre sistema. Per tant, mai hem de minimitzar el risc d’una vulnerabilitat i actualitzar a la última versió tant aviat com sigui possible.

D’altra banda, cal revisar la configuració de Drupal i dels mòduls que tenim instal·lats amb una mirada posada a la seguretat. Per exemple, ens podríem fer aquestes preguntes:

  • Hem de permetre que un usuari anònim es pugui registrar al sistema sense el vistiplau de l’administrador?
  • Els permisos que s’han assignat als rols d’usuari són els mínims imprescindibles perquè puguin realitzar les seves funcions?

Per altra part, també pot ser bona idea encarregar una auditoria de seguretat externa perquè s’analitzi el nostre lloc web. Això és ideal en els casos en els que el nostre lloc web depèn en gran mesura d’un codi font personalitzat i es torna indispensable quan estem parlant d’una botiga en línia. Hem de ser conscients que el codi font personalitzat no és segur per definició pel simple fet de no ser públic. En efecte, un codi font personalitzat segur ha de fer servir mètodes API que ja proporciona Drupal per tal de filtrar els paràmetres d’entrada (GET i POST) i per interaccionar amb la base de dades.

Finalment, per millorar la seguretat del nostre lloc web Drupal també podem instal·lar un WAF (Web Application Firewall) o bé instal·lar i configurar mòduls contribuïts que hem vist en altres articles i que trobareu enllaçats a continuació:

Articles relacionats

https://www.drauta.com/ca/moduls-drupal-augmentar-la-seguretat-part-1
https://www.drauta.com/ca/moduls-drupal-augmentar-la-seguretat-part-2

 

Comparteix aquest article

Articles Relacionats