Expertos en Drupal

Seguridad en Drupal

La seguridad en sitios web Drupal depende sobre todo de que mantengamos actualizado a la última versión el núcleo de Drupal y todos sus módulos contribuidos. No obstante, la seguridad también la podemos mejorar con otras acciones complementarias que analizaremos a continuación.

Roger Codina
Roger Codina

Diciembre 14, 2020

Seguridad en Drupal

El Drupal Security Team es un equipo de la comunidad de drupal.org que se encarga constantemente de revisar el código fuente del núcleo de Drupal y de sus módulos contribuidos para evaluar su seguridad. A la largo del tiempo, van corrigiendo vulnerabilidades de seguridad del núcleo y se cuidan de informar a los responsables de los módulos contribuidos para que las corrijan. En la página administrativa de actualizaciones de Drupal (DRUPAL_URL/admin/modules/update), distinguiremos una actualización de seguridad de una estándar porque en la primera sale con un color rojo de fondo. Es muy importante que vayamos instalando las actualizaciones de seguridad a medida que van saliendo. En efecto, aunque creamos que una vulnerabilidad conocida de nuestro sitio web quizá no nos afecte directamente, podría ser utilizada por alguien para escalar privilegios en nuestro sistema. Por lo tanto, nunca tenemos que minimizar el riesgo de una vulnerabilidad y actualizar a la última versión tan pronto como sea posible.

Además, hay que revisar la configuración de Drupal y de los módulos que tengamos instalados teniendo presente la seguridad. Por ejemplo, nos podríamos hacer estas preguntas:

  • ¿Tenemos que permitir que un usuario anónimo se pueda registrar en el sistema sin el visto bueno del administrador?
  • ¿Los permisos que se han asignado a los roles de usuario son los mínimos imprescindibles para que puedan realizar sus funciones?

Por otra parte, también puede ser una buena idea encargar una auditoria de seguridad externa para que se analice nuestro sitio web. Esto es ideal en los casos en los que nuestro sitio web depende en gran medida de código fuente personalizado y se vuelve indispensable cuando estamos hablando de una tienda en línea. Tenemos que ser conscientes que el código fuente personalizado no es seguro por definición por el mero hecho de no ser público. En efecto, un código fuente personalizado seguro tiene que utilizar métodos API que ya proporciona Drupal para filtrar los parámetros de entrada (GET i POST) y para interaccionar con la base de datos.

Finalmente, para mejorar la seguridad de nuestro sitio web Drupal también podemos instalar un WAF (Web Application Firewall) o bien instalar y configurar módulos contribuidos que hemos visto en otros artículos y que encontraréis enlazados a continuación:

Artículos relacionados

https://www.drauta.com/modulos-drupal-para-aumentar-la-seguridad-parte-1

https://www.drauta.com/modulos-drupal-para-aumentar-la-seguridad-parte-2

Comparte este artículo

Artículos Relacionados