• Página principal
  • Artículos
  • SEO
  • ¡7 estrategias de seguridad de Drupal que debe implementar de inmediato! (Incluye los mejores módulos de seguridad de Drupal 8)

¡7 estrategias de seguridad de Drupal que debe implementar de inmediato! (Incluye los mejores módulos de seguridad de Drupal 8)

Publicado: 2019-09-25

Asegurar su sitio web no es un objetivo único, sino un proceso continuo que requiere mucha de su atención. Prevenir un desastre es siempre una mejor opción. Con un sitio web de Drupal 8, puede estar seguro de que el equipo de seguridad de Drupal se ocupará de algunos de los principales riesgos de seguridad. Por supuesto, en última instancia, la responsabilidad recae en usted para garantizar que su sitio web sea seguro siguiendo las mejores prácticas de seguridad de Drupal.


Drupal ha impulsado millones de sitios web, muchos de los cuales manejan datos extremadamente críticos. Como era de esperar, Drupal ha sido el CMS de elección para sitios web que manejan información crítica como sitios web gubernamentales, instituciones bancarias y financieras, tiendas de comercio electrónico, etc. Las actualizaciones y características de seguridad de Drupal abordan los 10 principales riesgos de seguridad de OWASP (Open Web Application Security Project )


Drupal 8 se considera una de las versiones más seguras hasta la fecha debido a su enfoque de innovación continua y con visión de futuro. El equipo de seguridad de Drupal también había emitido un programa de recompensa de seguridad seis meses antes del lanzamiento de Drupal 8. A través de este programa, los usuarios fueron invitados a probar la ejecución y encontrar (e informar) errores en Drupal 8. ¡E incluso se les pagó por ello!

Vulnerabilidades de seguridad de Drupal

No hace falta decir que la comunidad se toma muy en serio la seguridad en Drupal y sigue publicando actualizaciones / parches de seguridad de Drupal. El equipo de seguridad de Drupal siempre es proactivo y está listo con parches incluso antes de que una vulnerabilidad se haga pública. Por ejemplo, el equipo de seguridad de Drupal publicó la actualización de vulnerabilidad de seguridad: SA-CORE-2018-002 días antes de que fuera realmente explotada (Drupalgeddon2). Pronto se lanzaron parches y actualizaciones de seguridad de Drupal, que advierten a los administradores del sitio de Drupal que actualicen su sitio web.


Citando a Dries de uno de sus blogs sobre la vulnerabilidad de seguridad: “El equipo de seguridad de Drupal sigue una" política de divulgación coordinada ": los problemas permanecen privados hasta que se publica una solución. Se hace un anuncio público cuando se ha abordado la amenaza y también está disponible una versión segura del núcleo de Drupal. Incluso cuando hay una corrección de errores disponible, el equipo de seguridad de Drupal es muy atento con su comunicación. "


Algunas ideas interesantes sobre las estadísticas de vulnerabilidad de Drupal por CVE Details:

seguridad drupal

vulnerabilidades de seguridad de drupal

1. Mantenga la calma y manténgase actualizado: actualizaciones de seguridad de Drupal

El equipo de seguridad de Drupal siempre está atento a las vulnerabilidades. Tan pronto como encuentran uno, los parches / actualizaciones de seguridad de Drupal se lanzan de inmediato. Además, después de Drupal 8 y la adopción de la innovación continua, los lanzamientos menores son más frecuentes. Esto ha llevado a actualizaciones fáciles y rápidas de Drupal de una versión mejor y más segura.
Asegurarse de que su versión y módulos de Drupal estén actualizados es realmente lo mínimo que puede hacer para garantizar la seguridad de su sitio web. Los colaboradores de Drupal están al tanto de las cosas y siempre están buscando cualquier amenaza de seguridad que pueda significar un desastre. Las actualizaciones de seguridad de Drupal no solo vienen con nuevas funciones, sino también con parches de seguridad y correcciones de errores. Las actualizaciones y anuncios de seguridad de Drupal se publican en los correos electrónicos de los usuarios y los administradores del sitio deben mantener sus versiones actualizadas para garantizar la seguridad en Drupal.

2. Administre sus aportaciones

La mayoría de los sitios web interactivos recopilan información de un usuario. Como administradores de sitios web, a menos que administre y maneje estas entradas de manera adecuada, corre un alto riesgo de seguridad. Los piratas informáticos pueden inyectar códigos SQL que pueden causar un gran daño a los datos de su sitio web.
Evitar que los usuarios ingresen palabras específicas de SQL como "SELECT" o "DROP" o "DELETE" podría dañar la experiencia del usuario de su sitio web. En cambio, con la seguridad en Drupal, puede usar las funciones de escape o filtrado disponibles en la API de la base de datos para eliminar y filtrar esas inyecciones SQL dañinas. La desinfección de su código es el paso más importante hacia un sitio web Drupal seguro.

3. Seguridad de Drupal 8

¿Cómo ayuda Drupal 8 a crear un sitio web más sólido y seguro? Aquí hay algunas características de seguridad de Drupal 8:

  • Symfony : con Drupal 8 adoptando el marco Symfony, abrió las puertas a muchos más desarrolladores además de limitarlos a los desarrolladores centrales de Drupal. Symfony no solo es un marco más seguro, sino que también atrajo a más desarrolladores con diferentes conocimientos para corregir errores y crear parches de seguridad.
  • Twig Templates : como acabamos de discutir sobre la desinfección de su código para manejar mejor las entradas, aquí le informamos que con Drupal 8, ya se ha solucionado. ¿Cómo? Gracias a la adopción de Twig por parte de Drupal 8 como motor de plantillas. Con Twig, no necesitará ningún filtrado adicional y escape de entradas, ya que se desinfecta automáticamente. Además, debido a que Twig aplica capas separadas entre la lógica y la presentación, hace que sea imposible ejecutar consultas SQL o hacer un mal uso de la capa temática.
  • WYSIWYG más seguro : el editor WYSIWYG en Drupal es una gran herramienta de edición para los usuarios, pero también se puede utilizar incorrectamente para llevar a cabo ataques como los ataques XSS. Con Drupal 8 siguiendo las mejores prácticas de seguridad de Drupal, ahora permite usar solo formatos HTML filtrados. Además, para evitar que los usuarios hagan un mal uso de las imágenes y para evitar CSRF (falsificación de solicitudes entre sitios), el filtrado de texto principal de Drupal 8 permite a los usuarios usar solo imágenes locales.
  • La Iniciativa de gestión de la configuración (CMI) : esta iniciativa de Drupal 8 funciona muy bien para los administradores y propietarios de sitios, ya que les permite realizar un seguimiento de la configuración en el código. Cualquier cambio en la configuración del sitio será rastreado y auditado, lo que permitirá un control estricto sobre la configuración del sitio.

4. Elija sabiamente sus módulos de Drupal

Antes de instalar un módulo, asegúrese de ver qué tan activo está. ¿Los desarrolladores de módulos son lo suficientemente activos? ¿Lanzan actualizaciones de seguridad de Drupal con frecuencia? ¿Se ha descargado antes o es usted el primer chivo expiatorio? Encontrará todos los detalles mencionados en la parte inferior de la página de descarga de los módulos. También asegúrese de que sus módulos estén actualizados y desinstale los que ya no usa.

5. Módulos de seguridad de Drupal al rescate

Al igual que la ropa en capas funciona mejor que un jersey grueso para mantenerse abrigado durante el invierno, su sitio web está mejor protegido en un enfoque en capas. Los módulos de seguridad de Drupal pueden darle a su sitio web una capa adicional de seguridad a su alrededor. Algunos de los principales módulos de seguridad de Drupal 8 que debe utilizar para su sitio web:

Seguridad de inicio de sesión de Drupal -

Este módulo garantiza la seguridad en Drupal al permitir que el administrador del sitio agregue varias restricciones al inicio de sesión del usuario. El módulo de seguridad de inicio de sesión de Drupal puede restringir el número de intentos de inicio de sesión no válidos antes de bloquear cuentas. Se puede denegar el acceso a las direcciones IP de forma temporal o permanente.

Autenticación de dos factores -

Con este módulo de seguridad de Drupal, puede agregar una capa adicional de autenticación una vez que su usuario inicie sesión con una identificación de usuario y una contraseña. Como ingresar un código que se envió a su teléfono móvil.

Política de contraseñas -

Este es un gran módulo de seguridad de Drupal que le permite agregar otra capa de seguridad a sus formularios de inicio de sesión, evitando así bots y otras brechas de seguridad. Hace cumplir ciertas restricciones en las contraseñas de los usuarios, como restricciones en la longitud, tipo de carácter, mayúsculas / minúsculas, puntuación, etc. También obliga a los usuarios a cambiar sus contraseñas con regularidad (función de caducidad de contraseñas).

Prevención de enumeración de nombre de usuario -

De forma predeterminada, Drupal le permite saber si el nombre de usuario ingresado no existe o existe (si otras credenciales son incorrectas). Esto puede ser excelente si un pirata informático intenta ingresar nombres de usuario aleatorios solo para descubrir uno que sea realmente válido. Este módulo habilita la seguridad en Drupal y previene tales ataques cambiando el mensaje de error estándar.

Acceso al contenido -

Como sugiere su nombre, este módulo le permite brindar un control de acceso más detallado a su contenido. Cada tipo de contenido se puede especificar con una vista personalizada, editar o eliminar permisos. Puede administrar los permisos para los tipos de contenido por función y autor.

Codificador -

Las lagunas en su código también pueden dar paso a un atacante. El módulo Coder (una herramienta de línea de comandos con soporte IDE) revisa su código Drupal y le permite saber dónde no ha seguido las mejores prácticas de codificación.

Kit de seguridad -

Este módulo de seguridad de Drupal ofrece muchas funciones de manejo de riesgos. Vulnerabilidades como scripts (o sniffing) entre sitios, CSRF, Clickjacking, ataques de espionaje y más pueden manejarse y mitigarse fácilmente con este módulo de seguridad de Drupal 88.

Captcha -

Por mucho que odiemos demostrar nuestra humanidad, CAPTCHA es probablemente uno de los mejores módulos de seguridad de Drupal para filtrar spam no deseados. Este módulo de Drupal evita el envío automático de scripts de spam y se puede utilizar en cualquier formulario web de un sitio web de Drupal.

6. Verifique sus permisos

Drupal le permite tener múltiples roles y usuarios como administradores, usuarios autenticados, usuarios anónimos, editores, etc. Para ajustar la seguridad de su sitio web, cada uno de estos roles debe poder realizar solo un cierto tipo de trabajo. Por ejemplo, a un usuario anónimo se le deben otorgar los permisos mínimos, como ver solo contenido. Una vez que instale Drupal y / o agregue más módulos, no olvide asignar manualmente y otorgar permisos de acceso a cada función.

7. Obtenga HTTPS

Apuesto a que ya sabía que cualquier tráfico que se transmite a través de HTTP puede ser espiado y registrado por casi cualquier persona. Un atacante puede capturar y explotar información como su identificación de inicio de sesión, contraseña y otra información de la sesión. Si tiene un sitio web de comercio electrónico, esto se vuelve aún más crítico ya que se trata de pagos y datos personales. La instalación de un certificado SSL en su servidor asegurará la conexión entre el usuario y el servidor al cifrar los datos que se transfieren. Un sitio web HTTPS también puede aumentar su clasificación de SEO, lo que hace que valga la pena la inversión.