8 consejos de seguridad en Drupal, protege tu proyecto web
Contents
8 consejos de seguridad en Drupal, protege tu proyecto web
Descubre los 8 consejos de seguridad en Drupal, el mayor sistema de gestión de contenidos CMS y mantén a salvo toda la información de tu sitio web.
Proteger tu sitio web de posibles ataques es imprescindible para salvaguardar tu negocio, más aún cuando tus datos dependen de ello. Si bien es cierto que no existe la seguridad perfecta en los CMS, es posible optimizar estas herramientas de desarrollo para minimizar el riesgo de sufrir ataques indeseados.
Si eres usuario de Drupal, uno de los CMS de código abierto más seguro del mercado y elegido por las webs gubernamentales, te traemos los mejores consejos para maximizar la seguridad de tu sitio web. Toma todas las precauciones necesarias para evitar pérdidas y mantener una web sólida y segura.
1. Mantén al día las versiones de PHP
El PHP es un lenguaje de scripting que permite a los desarrolladores hacer de tu página web una más interactiva. Es importante utilizar versiones de PHP que no estén obsoletas ni sean incompatibles para evitar que tu sitio web se ralentice o poner en riesgo la seguridad de tu servidor.
Asegúrate de que la versión que se esté ejecutando de tu Drupal sea compatible y detecte de forma regular vulnerabilidades de seguridad. De esta forma, evitas tener un código obsoleto y vulnerable.
2. Revisa el listado de actualizaciones de módulos:
De igual forma, es fundamental que mantengas en todo momento tu site actualizado. Cuando aparece una nueva versión de Drupal, las vulnerabilidades de la anterior se hacen públicas y esto permite la entrada a hackers si tu web no cuenta con la última actualización.
Para conocer el listado de componentes pendientes de actualización puedes visitar la sección url /admin/reports/updates, donde aparecerá un aviso en rojo en caso de que exista una actualización de seguridad. También puedes suscribirte a la newsletter de seguridad de Drupal.org para recibir las notificaciones de cuando se lanzan las actualizaciones.
3. Protege los formularios web con Honeypot
Los formularios web son un pilar importante para el negocio, ya que te permite recopilar información de tus clientes y mejorar la experiencia del usuario. Sin embargo, son también una vía sencilla por la que sufrir spam.
Instala un módulo como Honeypot para disuadir a los robots de spam de completar formularios en tu sitio de Drupal. Con este mecanismo los desarrolladores web pueden bloquear bots, haciendo una diferenciación entre humanos y robots. Una vez instalado, puedes configurarlo desde /admin/config/content/honeypot.
4. Gestiona las políticas CSP
La Política de seguridad de contenido (CSP) es una capa adicional de seguridad que ayuda a detectar y mitigar ataques como el robo de datos o malware.
Mejora la transacción de datos privados con este estándar web. Con este, otorgas a tus desarrolladores un control adicional sobre las ubicaciones desde las que un navegador del cliente puede cargar recursos. Así, tu desarrollador puede especificar que el contenido se puede subir de forma segura desde tu propio sitio, las imágenes desde cualquier dominio y las bibliotecas y scripts de JavaScript solo desde un dominio de terceros verificado y confiable.
5. Estructura Drupal desde Composer
Da forma a tu estructura Drupal para que se actualice y administre todas las dependencias (módulos, temas, bibliotecas) mediante Composer. Con este sistema de gestión, garantizas la protección de tus repositorios privados y evitas cualquier código malintencionado tipo Packagist.
6. Instala módulos de seguridad
Drupal cuenta con diversos módulos con los que reforzar la seguridad de tu sitio web. Entre las diferentes opciones, elige aquellos módulos que tengan el sello verde del Security Team y asegúrate de que se encuentren en fase estable.
Entre las categorías de Drupal, optimiza User Access, Spam Prevention y Security Kit. Este último es el más completo ya que permite configurar varias opciones para minimizar ataques potenciales, como Ckickjacking o el Cross-site scripting.
7. Utiliza Drush para las actualizaciones web
Para evitar procesos largos y manuales en la actualización de tu web, utiliza los comandos en línea de Drush.
Utiliza el comando Drush pm-update (alias: up) para ejecutar actualizaciones de tu Drupal, módulos y temas, así como instalar las que estén pendientes en tu base de datos.
Por otro lado, para chequear los proyectos que deban actualizarse usa el comando Pm-update-pipe (alias: up –pipe).
8. Gestión de los usuarios
El papel de los usuarios en el mantenimiento web es igual de importante para la seguridad de tu site. Por eso, en /admin/people/permissions revisa y reduce los permisos existentes en tu sitio web para que cada usuario tan solo tenga permiso a ver y gestionar lo estrictamente necesario.
Del mismo modo, para que los usuarios no dejen sesiones abiertas e inhabilitadas – uno de los puntos de entrada más comunes para los hackers- puedes limitar el tiempo de login de los usuarios a través de Session limit. Con esta herramienta podrás, además, cerrar la sesión a un usuario en caso de que haya abierto una nueva en otro navegador.
En Quodem, con más de 15 años de experiencia desarrollando aplicaciones con base CMS como Drupal, te damos todo el soporte que tu empresa necesita. Aplica estos 8 consejos para proteger la seguridad web de tu Drupal y evita así cualquier posible ataque que ponga en peligro tu negocio.
