• Homepage
  • Articoli
  • SEO
  • 7 strategie di sicurezza Drupal che devi implementare subito! (Include i migliori moduli di sicurezza Drupal 8)

7 strategie di sicurezza Drupal che devi implementare subito! (Include i migliori moduli di sicurezza Drupal 8)

Pubblicato: 2019-09-25

Proteggere il tuo sito web non è un obiettivo una tantum, ma un processo continuo che richiede molta della tua attenzione. Prevenire un disastro è sempre un'opzione migliore. Con un sito Web Drupal 8, puoi essere certo che alcuni dei principali rischi per la sicurezza vengono presi in carico dal team di sicurezza di Drupal. Ovviamente, in definitiva, spetta a te garantire che il tuo sito Web sia sicuro e protetto seguendo le migliori pratiche di sicurezza di Drupal.


Drupal ha alimentato milioni di siti Web, molti dei quali gestiscono dati estremamente critici. Non sorprende che Drupal sia stato il CMS preferito per i siti Web che gestiscono informazioni critiche come siti Web governativi, istituti bancari e finanziari, negozi di e-commerce, ecc. Gli aggiornamenti e le funzionalità di sicurezza di Drupal affrontano tutti i 10 principali rischi per la sicurezza di OWASP (Open Web Application Security Project )


Drupal 8 è considerato una delle versioni più sicure fino ad oggi grazie al suo approccio lungimirante e all'innovazione continua. Il team di sicurezza di Drupal aveva anche emesso un programma di ricompensa per la sicurezza sei mesi prima del rilascio di Drupal 8. Attraverso questo programma, gli utenti sono stati invitati a testare e trovare (e segnalare) bug in Drupal 8. E sono stati anche pagati per questo!

Vulnerabilità della sicurezza di Drupal

Inutile dire che la comunità prende molto sul serio la sicurezza in Drupal e continua a rilasciare aggiornamenti / patch di sicurezza di Drupal. Il team di sicurezza di Drupal è sempre proattivo e pronto con le patch anche prima che una vulnerabilità diventi pubblica. Ad esempio, il team di sicurezza di Drupal ha rilasciato l'aggiornamento della vulnerabilità di sicurezza - SA-CORE-2018-002 giorni prima che fosse effettivamente sfruttato (Drupalgeddon2). Le patch e gli aggiornamenti di sicurezza di Drupal sono stati presto rilasciati, consigliando agli amministratori del sito Drupal di aggiornare il proprio sito web.


Citando Dries da uno dei suoi blog sulla vulnerabilità della sicurezza: "Il Drupal Security Team segue una "politica di divulgazione coordinata": i problemi rimangono privati ​​fino a quando non viene pubblicata una correzione. Viene fatto un annuncio pubblico quando la minaccia è stata affrontata ed è disponibile anche una versione sicura di Drupal core. Anche quando viene resa disponibile una correzione di bug, il Drupal Security Team è molto attento con la sua comunicazione.


Alcuni spunti interessanti sulle statistiche di vulnerabilità di Drupal da CVE Details:

sicurezza drupa

vulnerabilità di sicurezza drupal

1. Mantieni la calma e rimani aggiornato – Aggiornamenti sulla sicurezza di Drupal

Il team di sicurezza di Drupal è sempre attento alle vulnerabilità. Non appena ne trovano uno, le patch/gli aggiornamenti di sicurezza di Drupal vengono immediatamente rilasciati. Inoltre, dopo Drupal 8 e l'adozione dell'innovazione continua, i rilasci minori sono più frequenti. Ciò ha portato ad aggiornamenti Drupal facili e veloci di una versione migliore e più sicura.
Assicurarti che la tua versione e i moduli di Drupal siano aggiornati è davvero il minimo che puoi fare per garantire la sicurezza del tuo sito web. I collaboratori di Drupal sono sempre al passo con le cose e sono sempre alla ricerca di eventuali minacce alla sicurezza che potrebbero provocare un disastro. Gli aggiornamenti di sicurezza di Drupal non includono solo nuove funzionalità, ma anche patch di sicurezza e correzioni di bug. Gli aggiornamenti e gli annunci di sicurezza di Drupal vengono pubblicati nelle e-mail degli utenti e gli amministratori del sito devono mantenere le loro versioni aggiornate per garantire la sicurezza in Drupal.

2. Gestisci i tuoi input

La maggior parte dei siti Web interattivi raccoglie input da un utente. In qualità di amministratori del sito Web, a meno che tu non gestisca e gestisci questi input in modo appropriato, sei a rischio elevato per la sicurezza. Gli hacker possono iniettare codici SQL che possono causare gravi danni ai dati del tuo sito web.
Impedire ai tuoi utenti di inserire parole specifiche SQL come "SELECT" o "DROP" o "DELETE" potrebbe danneggiare l'esperienza utente del tuo sito web. Invece, con la sicurezza in Drupal, puoi utilizzare le funzioni di escape o di filtro disponibili nell'API del database per rimuovere e filtrare tali iniezioni SQL dannose. Sanificare il tuo codice è il passo più cruciale verso un sito web Drupal sicuro.

3. Sicurezza Drupal 8

In che modo Drupal 8 aiuta a creare un sito Web più robusto e sicuro? Ecco alcune funzionalità di sicurezza di Drupal 8:

  • Symfony – Con Drupal 8 che adotta il framework Symfony, ha aperto le porte a molti più sviluppatori oltre a limitarli ai soli sviluppatori Drupal di base. Non solo Symfony è un framework più sicuro, ma ha anche portato più sviluppatori con intuizioni diverse per correggere bug e creare patch di sicurezza.
  • Twig Templates – Come abbiamo appena discusso sulla sanificazione del codice per gestire meglio gli input, ecco per dirti che con Drupal 8, è già stato risolto. Come? Grazie all'adozione da parte di Drupal 8 di Twig come motore di template. Con Twig, non avrai bisogno di ulteriori filtri e fughe di input poiché viene automaticamente disinfettato. Inoltre, poiché l'applicazione da parte di Twig di livelli separati tra logica e presentazione, rende impossibile eseguire query SQL o utilizzare in modo improprio il livello del tema.
  • WYSIWYG più sicuro - L'editor WYSIWYG in Drupal è un ottimo strumento di modifica per gli utenti, ma può anche essere utilizzato in modo improprio per eseguire attacchi come gli attacchi XSS. Con Drupal 8 che segue le migliori pratiche di sicurezza di Drupal, ora consente di utilizzare solo formati HTML filtrati. Inoltre, per impedire agli utenti di utilizzare in modo improprio le immagini e per prevenire CSRF (falsificazione di richieste tra siti), il filtro del testo principale di Drupal 8 consente agli utenti di utilizzare solo immagini locali.
  • The Configuration Management Initiative (CMI) - Questa iniziativa Drupal 8 funziona alla grande per gli amministratori e i proprietari del sito in quanto consente loro di tenere traccia della configurazione nel codice. Qualsiasi modifica alla configurazione del sito verrà tracciata e verificata, consentendo un controllo rigoroso sulla configurazione del sito web.

4. Scegli saggiamente i tuoi moduli Drupal

Prima di installare un modulo, assicurati di controllare quanto è attivo. Gli sviluppatori del modulo sono abbastanza attivi? Rilasciano spesso gli aggiornamenti di sicurezza di Drupal? È stato scaricato prima o sei il primo capro espiatorio? Troverai tutti i dettagli menzionati nella parte inferiore della pagina di download dei moduli. Assicurati anche che i tuoi moduli siano aggiornati e disinstalla quelli che non usi più.

5. Moduli di sicurezza Drupal in soccorso

Proprio come l'abbigliamento a strati funziona meglio di un pullover spesso per stare al caldo durante l'inverno, il tuo sito web è protetto al meglio con un approccio a strati. I moduli di sicurezza Drupal possono dare al tuo sito web un ulteriore livello di sicurezza attorno ad esso. Alcuni dei migliori moduli di sicurezza di Drupal 8 che devi utilizzare per il tuo sito web:

Sicurezza dell'accesso a Drupal

Questo modulo garantisce la sicurezza in Drupal consentendo all'amministratore del sito di aggiungere varie restrizioni all'accesso degli utenti. Il modulo di sicurezza dell'accesso Drupal può limitare il numero di tentativi di accesso non validi prima di bloccare gli account. L'accesso agli indirizzi IP può essere negato temporaneamente o permanentemente.

Autenticazione a due fattori -

Con questo modulo di sicurezza Drupal, puoi aggiungere un ulteriore livello di autenticazione una volta che l'utente accede con un ID utente e una password. Come inserire un codice che è stato inviato al loro telefono cellulare.

Politica sulle password –

Questo è un ottimo modulo di sicurezza Drupal che ti consente di aggiungere un altro livello di sicurezza ai tuoi moduli di accesso, prevenendo bot e altre violazioni della sicurezza. Impone alcune restrizioni sulle password degli utenti, come i vincoli sulla lunghezza, il tipo di carattere, le maiuscole/minuscole, la punteggiatura, ecc. Obbliga inoltre gli utenti a modificare le password regolarmente (funzione di scadenza della password).

Prevenzione dell'enumerazione dei nomi utente –

Per impostazione predefinita, Drupal ti consente di sapere se il nome utente inserito non esiste o esiste (se altre credenziali sono errate). Questo può essere fantastico se un hacker sta cercando di inserire nomi utente casuali solo per scoprirne uno effettivamente valido. Questo modulo abilita la sicurezza in Drupal e previene tali attacchi modificando il messaggio di errore standard.

Accesso ai contenuti -

Come suggerisce il nome, questo modulo ti consente di fornire un controllo di accesso più dettagliato ai tuoi contenuti. Ogni tipo di contenuto può essere specificato con una visualizzazione personalizzata, modifica o eliminazione delle autorizzazioni. Puoi gestire le autorizzazioni per i tipi di contenuto per ruolo e autore.

Programmatore -

Le scappatoie nel codice possono anche far posto a un utente malintenzionato. Il modulo Coder (uno strumento da riga di comando con supporto IDE) passa attraverso il tuo codice Drupal e ti consente di sapere dove non hai seguito le migliori pratiche di codifica.

Kit di sicurezza -

Questo modulo di sicurezza Drupal offre molte funzionalità di gestione dei rischi. Vulnerabilità come lo scripting tra siti (o sniffing), CSRF, Clickjacking, attacchi di intercettazione e altro ancora possono essere facilmente gestite e mitigate con questo modulo di sicurezza Drupal 88.

Captcha -

Per quanto odiamo dimostrare la nostra umanità, CAPTCHA è probabilmente uno dei migliori moduli di sicurezza Drupal in circolazione per filtrare gli spambot indesiderati. Questo modulo Drupal impedisce l'invio automatico di script da spambots e può essere utilizzato in qualsiasi forma web di un sito web Drupal

6. Controlla le tue autorizzazioni

Drupal ti consente di avere più ruoli e utenti come amministratori, utenti autenticati, utenti anonimi, editor, ecc. Per ottimizzare la sicurezza del tuo sito web, a ciascuno di questi ruoli dovrebbe essere consentito di eseguire solo un certo tipo di lavoro. Ad esempio, a un utente anonimo dovrebbero essere concessi i permessi minimi come la visualizzazione solo del contenuto. Una volta installato Drupal e/o aggiunto più moduli, non dimenticare di assegnare e concedere manualmente i permessi di accesso a ciascun ruolo.

7. Ottieni HTTPS

Scommetto che sapevi già che qualsiasi traffico trasmesso solo tramite HTTP può essere intercettato e registrato da quasi chiunque. Informazioni come ID di accesso, password e altre informazioni sulla sessione possono essere acquisite e sfruttate da un utente malintenzionato. Se hai un sito web di e-Commerce, questo diventa ancora più critico in quanto si occupa di pagamenti e dettagli personali. L'installazione di un certificato SSL sul tuo server proteggerà la connessione tra l'utente e il server crittografando i dati trasferiti. Un sito Web HTTPS può anche aumentare il tuo posizionamento SEO, il che rende assolutamente degno l'investimento.