• Pagina inicial
  • Artigos
  • SEO
  • 7 estratégias de segurança Drupal que você precisa implementar imediatamente! (Inclui os principais módulos de segurança Drupal 8)

7 estratégias de segurança Drupal que você precisa implementar imediatamente! (Inclui os principais módulos de segurança Drupal 8)

Publicados: 2019-09-25

Proteger o seu site não é uma meta única, mas um processo contínuo que requer muita atenção. Prevenir um desastre é sempre uma opção melhor. Com um site do Drupal 8, você pode ter certeza de que alguns dos principais riscos de segurança estão sendo tratados pela equipe de segurança do Drupal. Claro, em última análise, a responsabilidade recai sobre você para garantir que seu site seja seguro e protegido, seguindo as práticas recomendadas de segurança do Drupal.


O Drupal alimentou milhões de sites, muitos dos quais lidam com dados extremamente críticos. Sem surpresa, o Drupal tem sido o CMS preferido para sites que lidam com informações críticas, como sites governamentais, instituições bancárias e financeiras, lojas de comércio eletrônico, etc. As atualizações e recursos de segurança do Drupal abordam todos os 10 principais riscos de segurança do OWASP (Open Web Application Security Project )


O Drupal 8 é considerado uma das versões mais seguras até hoje por causa de sua visão de futuro e abordagem de inovação contínua. A equipe de segurança do Drupal também lançou um programa de recompensa de segurança seis meses antes do lançamento do Drupal 8. Por meio desse programa, os usuários foram convidados a testar e encontrar (e relatar) bugs no Drupal 8. E até foram pagos por isso!

Vulnerabilidades de segurança Drupal

Nem é preciso dizer que a comunidade leva a segurança no Drupal muito a sério e continua lançando atualizações / patches de segurança do Drupal. A equipe de segurança do Drupal está sempre proativa e pronta com patches, mesmo antes de uma vulnerabilidade se tornar pública. Por exemplo, a equipe de segurança do Drupal lançou a atualização de vulnerabilidade de segurança - SA-CORE-2018-002 dias antes de ser realmente explorada (Drupalgeddon2). Patches e atualizações de segurança do Drupal foram lançados em breve, aconselhando os administradores do site Drupal a atualizar seu site.


Citando Dries de um de seus blogs sobre a vulnerabilidade de segurança - “O Drupal Security Team segue uma" política de divulgação coordenada ": os problemas permanecem privados até que haja uma correção publicada. Um anúncio público é feito quando a ameaça é abordada e uma versão segura do núcleo do Drupal também está disponível. Mesmo quando uma correção de bug é disponibilizada, a equipe de segurança do Drupal é muito cuidadosa com sua comunicação.


Alguns insights interessantes sobre as estatísticas de vulnerabilidade do Drupal por Detalhes CVE:

segurança drupal

vulnerabilidades de segurança drupal

1. Mantenha a calma e fique atualizado - Atualizações de segurança do Drupal

A equipe de segurança do Drupal está sempre alerta para as vulnerabilidades. Assim que eles encontrarem um, os patches / atualizações de segurança do Drupal serão lançados imediatamente. Além disso, após o Drupal 8 e a adoção da inovação contínua, os lançamentos menores são mais frequentes. Isso levou a atualizações fáceis e rápidas do Drupal de uma versão melhor e mais segura.
Certificar-se de que a versão e os módulos do Drupal estão atualizados é realmente o mínimo que você pode fazer para garantir a segurança do seu site. Os contribuidores do Drupal estão sempre atualizados e sempre procurando por ameaças de segurança que possam significar um desastre. As atualizações de segurança do Drupal não vêm apenas com novos recursos, mas também com patches de segurança e correções de bugs. As atualizações e anúncios de segurança do Drupal são postados nos e-mails dos usuários e os administradores do site devem manter suas versões atualizadas para garantir a segurança no Drupal.

2. Administre suas entradas

A maioria dos sites interativos reúne informações de um usuário. Como administradores de sites, a menos que gerencie e manipule essas entradas de maneira adequada, você corre um grande risco de segurança. Os hackers podem injetar códigos SQL que podem causar grandes danos aos dados do seu site.
Impedir que seus usuários insiram palavras específicas de SQL como “SELECIONAR” ou “DROP” ou “DELETE” pode prejudicar a experiência do usuário em seu site. Em vez disso, com a segurança no Drupal, você pode usar funções de escape ou filtragem disponíveis na API do banco de dados para remover e filtrar essas injeções SQL prejudiciais. A higienização de seu código é a etapa mais importante para um site Drupal seguro.

3. Segurança Drupal 8

Como o Drupal 8 está ajudando na construção de um site mais robusto e seguro? Aqui estão alguns recursos de segurança do Drupal 8 -

  • Symfony - Com o Drupal 8 adotando o framework Symfony, ele abriu portas para muitos mais desenvolvedores além de limitá-los apenas aos desenvolvedores Drupal centrais. O Symfony não é apenas uma estrutura mais segura, mas também trouxe mais desenvolvedores com diferentes percepções para corrigir bugs e criar patches de segurança.
  • Twig Templates - Como acabamos de discutir sobre como limpar seu código para lidar melhor com as entradas, aqui está para dizer que, com o Drupal 8, isso já foi feito. Como? Graças à adoção do Twig pelo Drupal 8 como seu mecanismo de modelagem. Com o Twig, você não precisará de nenhuma filtragem adicional e escape de entradas, pois ele é automaticamente higienizado. Além disso, como o Twig impõe camadas separadas entre a lógica e a apresentação, torna impossível executar consultas SQL ou usar indevidamente a camada do tema.
  • Mais seguro WYSIWYG - O editor WYSIWYG no Drupal é uma ótima ferramenta de edição para usuários, mas também pode ser mal utilizado para realizar ataques como ataques XSS. Com o Drupal 8 seguindo as práticas recomendadas de segurança do Drupal, agora ele permite o uso apenas de formatos HTML filtrados. Além disso, para evitar que os usuários usem indevidamente as imagens e evitar CSRF (falsificação de solicitação entre sites), a filtragem de texto central do Drupal 8 permite que os usuários usem apenas imagens locais.
  • A Configuration Management Initiative (CMI) - esta iniciativa Drupal 8 funciona muito bem para administradores e proprietários de sites, pois permite que eles rastreiem a configuração no código. Todas as alterações na configuração do site serão rastreadas e auditadas, permitindo um controle estrito sobre a configuração do site.

4. Escolha seus módulos Drupal com sabedoria

Antes de instalar um módulo, verifique se ele está ativo. Os desenvolvedores do módulo são ativos o suficiente? Eles lançam atualizações de segurança do Drupal com frequência? Já foi baixado antes ou você é o primeiro bode expiatório? Você encontrará todos os detalhes mencionados na parte inferior da página de download dos módulos. Além disso, certifique-se de que seus módulos sejam atualizados e desinstale aqueles que você não usa mais.

5. Módulos de segurança Drupal para o resgate

Assim como roupas em camadas funcionam melhor do que um pulôver grosso para se aquecer durante o inverno, seu site fica melhor protegido em camadas. Os módulos de segurança do Drupal podem dar ao seu site uma camada extra de segurança em torno dele. Alguns dos principais módulos de segurança Drupal 8 que você deve usar em seu site -

Segurança de login Drupal -

Este módulo garante a segurança no Drupal, permitindo que o administrador do site adicione várias restrições ao login do usuário. O módulo de segurança de login Drupal pode restringir o número de tentativas de login inválidas antes de bloquear contas. O acesso pode ser negado para endereços IP temporária ou permanentemente.

Autenticação de dois fatores -

Com este módulo de segurança Drupal, você pode adicionar uma camada extra de autenticação assim que seu usuário fizer login com um ID de usuário e senha. Como inserir um código que foi enviado ao celular.

Política de senha -

Este é um ótimo módulo de segurança Drupal que permite adicionar outra camada de segurança aos seus formulários de login, evitando bots e outras violações de segurança. Ele impõe certas restrições às senhas de usuários - como restrições de comprimento, tipo de caractere, maiúsculas / minúsculas, pontuação, etc. Ele também força os usuários a alterar suas senhas regularmente (recurso de expiração de senha).

Prevenção de enumeração de nome de usuário -

Por padrão, o Drupal permite que você saiba se o nome de usuário inserido não existe ou existe (se outras credenciais estiverem erradas). Isso pode ser ótimo se um hacker estiver tentando inserir nomes de usuário aleatórios apenas para descobrir um que seja realmente válido. Este módulo habilita a segurança no Drupal e evita tais ataques, alterando a mensagem de erro padrão.

Acesso ao conteúdo -

Como o nome sugere, este módulo permite fornecer um controle de acesso mais detalhado ao seu conteúdo. Cada tipo de conteúdo pode ser especificado com uma visualização personalizada, permissões de edição ou exclusão. Você pode gerenciar permissões para tipos de conteúdo por função e autor.

Coder -

Brechas em seu código também podem abrir caminho para um invasor. O módulo Coder (uma ferramenta de linha de comando com suporte IDE) percorre seu código Drupal e permite que você saiba onde você não seguiu as melhores práticas de codificação.

Kit de Segurança -

Este módulo de segurança Drupal oferece muitos recursos de gerenciamento de risco. Vulnerabilidades como cross-site scripting (ou sniffing), CSRF, Clickjacking, ataques de espionagem e muito mais podem ser facilmente manipuladas e mitigadas com este módulo de segurança Drupal 88.

CAPTCHA -

Por mais que odiemos provar nossa humanidade, CAPTCHA é provavelmente um dos melhores módulos de segurança Drupal que existem para filtrar spambots indesejados. Este módulo Drupal impede o envio automático de scripts de spambots e pode ser usado em qualquer formato da web de um site Drupal

6. Verifique suas permissões

O Drupal permite que você tenha várias funções e usuários, como administradores, usuários autenticados, usuários anônimos, editores, etc. Para ajustar a segurança do seu site, cada uma dessas funções deve ter permissão para executar apenas um determinado tipo de trabalho. Por exemplo, um usuário anônimo deve receber o mínimo de permissões, como apenas visualização de conteúdo. Depois de instalar o Drupal e / ou adicionar mais módulos, não se esqueça de atribuir manualmente e conceder permissões de acesso a cada função.

7. Obtenha HTTPS

Aposto que você já sabia que qualquer tráfego transmitido apenas por um HTTP pode ser espionado e registrado por quase qualquer pessoa. Informações como seu ID de login, senha e outras informações de sessão podem ser capturadas e exploradas por um invasor. Se você tem um site de comércio eletrônico, isso se torna ainda mais crítico, pois trata de pagamentos e detalhes pessoais. A instalação de um certificado SSL em seu servidor protegerá a conexão entre o usuário e o servidor criptografando os dados que são transferidos. Um site HTTPS também pode aumentar sua classificação de SEO - o que vale totalmente o investimento.