A raíz del aumento de las ciberamenazas, la seguridad de las tiendas Drupal se está volviendo cada vez más importante. Aunque el sistema de seguridad de Drupal es mejor que la mayoría, tiene una buena cantidad de vulnerabilidades. Este año se descubrieron múltiples vulnerabilidades, más como las vulnerabilidades RCE conocidas como Drupalgeddon. Estas vulnerabilidades recién encontradas también fueron la razón que resultó en una serie de instalaciones pirateadas en los últimos meses. Si está preocupado por su tienda Drupal, su preocupación está bien ubicada. A través de este blog, discutiremos las 8 mejores prácticas básicas de seguridad de Drupal que se emplean en su sitio web.
Las 8 mejores prácticas de seguridad de Drupal
1. Mantén tu tienda y módulos de Drupal actualizados
Es importante mantener actualizados los archivos principales de su tienda y módulos de Drupal con el software más reciente. Todas y cada una de las actualizaciones están equipadas con los parches de seguridad de las vulnerabilidades encontradas en versiones anteriores. El uso de una versión desactualizada del software expondrá su tienda a una serie de amenazas y vulnerabilidades. Para actualizar su tienda, siga los pasos dados:
Para Drupal 7.x y 8.x
- Seleccione ‘Actualizaciones disponibles’ de ‘Informes’
- Para buscar actualizaciones, seleccione el ‘Comprobar manualmente‘ opción
Se recomienda encarecidamente que elija sabiamente su fuente de temas y módulos. Intente instalar módulos solo de empresas de renombre o del repositorio de Drupal. Esto garantizará la seguridad de su tienda Drupal.
2. Realice copias de seguridad de su tienda con regularidad
Una copia de seguridad garantizará la seguridad de sus archivos y carpetas en caso de que algo salga mal. Puede restaurar todo su sitio web con la ayuda de una copia de seguridad y no tendrá que iniciar su sitio web desde cero. Por lo general, una copia de seguridad incluye todos los archivos principales y de módulos.
Pantheon es un host de Drupal que ofrece restauración y copia de seguridad con un solo clic. También proporciona un entorno de prueba para probar el propósito antes de introducirlos en el entorno principal. El software XAMPP o MAMP también se puede usar para probar localmente las actualizaciones antes de introducirlas en el sitio web en vivo.
3. Use nombres de usuario y contraseñas fuertes y únicos
De acuerdo con el enlace seguro, el 80% de los hackeos involucran violaciones de contraseña. De ahora en adelante, le recomendamos que elija sabiamente su nombre de usuario y contraseña. Es importante que su contraseña sea compleja y de naturaleza única, pero también es importante seleccionar un nombre de usuario complejo que un hacker no pueda predecir fácilmente. El uso de contraseñas seguras es una de las prácticas más sencillas para garantizar la seguridad de Drupal.
4. Módulos de seguridad
Hay una serie de módulos de seguridad disponibles en el mercado que pueden garantizar Drupal Security. Estos fragmentos de códigos se pueden usar para cumplir con casi cualquier requisito que su sitio web necesite (o pueda necesitar más adelante) sin contratar a un desarrollador. Por ejemplo, puede usar módulos de seguridad para proteger la página de inicio de sesión de su tienda, monitorear amenazas, verificar alteraciones, implementar contraseñas seguras y mucho más.
5. Permisos de archivos de Drupal
Los archivos presentes en su sitio web contienen instrucciones importantes e información esencial para ejecutar las funciones de su sitio web sin problemas. El permiso no autorizado para estos archivos puede exponerlos a una serie de vulnerabilidades. Por lo tanto, es crucial restringir los permisos de archivo de una tienda Drupal solo a usuarios autorizados (con diferentes permisos, como opciones de lectura, escritura y modificación).
También puede bloquear los permisos para los archivos importantes (autorizar.php, actualizar.php, cron.php, instalar.php) de su directorio Drupal. Para denegar el permiso, escriba estos códigos en su archivo .htaccess.
<FilesMatch “(authorize|cron|install|upgrade)\.php”> Order deny, allow deny from all Allow from 127.0.0.1 </FilesMatch>
6. Asegure el backend
Asegurar el backend de un sitio web tiene la misma importancia que asegurar la página de administración e inicio de sesión de un sitio web. Es crucial fortalecer la defensa de su base de datos Drupal. El primer paso a seguir es establecer un prefijo de tabla único para que sea difícil de adivinar para los piratas informáticos. También protegerá su base de datos de la inyección de SQL.
7. Certificación SSL
La certificación SSL garantiza que la comunicación entre dos servidores a través de Internet sea de naturaleza encriptada. La página de inicio de sesión de un sitio web debe tener la certificación SSL para garantizar la seguridad de las credenciales del cliente. Sin el uso de una conexión HTTPS, es más fácil interceptar la transferencia de información. Una conexión HTTPS no solo asegura la comunicación, sino que también mejorará la clasificación SEO de su sitio web.
8. Cortafuegos Drupal
Un firewall es una solución de un solo paso para una serie de problemas que podría enfrentar su sitio web. Es una forma ingeniosa de monitorear los intentos de piratería y frustrar los esfuerzos con solo un clic. Un firewall sólido como Astra no solo protegerá su sitio web de amenazas comunes como XSS, CSRF, SQLI, LFI, RFI, etc.; pero también te ayudará en el bloqueo de IP y el monitoreo de bots.
Conclusión
Asegurar y mantener una tienda Drupal puede volverse difícil si no sabe por dónde empezar. Es importante conocer las prácticas básicas de seguridad que todos y cada uno de los propietarios de sitios web deben implementar. Si estos pasos son demasiado difíciles de seguir para usted, Astra está aquí para usted. Espero haber discutido las prácticas de seguridad importantes en esta guía. Sin embargo, si cree que hay algunas medidas de seguridad que deberían estar en la lista, no dude en dejar algunos comentarios.
