Tecnología

Seguridad Drupal: las 8 principales prácticas de seguridad

A raíz de las crecientes amenazas cibernéticas, la seguridad de las tiendas Drupal es cada vez más importante. Aunque el sistema de seguridad de Drupal es mejor que el de la mayoría, tiene una buena cantidad de vulnerabilidades. Este año se descubrieron múltiples vulnerabilidades, más como vulnerabilidades RCE conocidas como Drupalgeddon. Estas vulnerabilidades recién encontradas también fueron la razón que dio lugar a una serie de instalaciones pirateadas en los últimos meses. Si le preocupa su tienda Drupal, su preocupación está bien ubicada. A través de este blog, analizaremos las 8 prácticas de seguridad básicas de Drupal que se emplean en su sitio web.

Un ejemplo de un truco de Drupal
Un ejemplo de un truco de Drupal

Las 8 mejores prácticas de seguridad de Drupal

1. Mantenga su tienda Drupal y sus módulos actualizados

Es importante mantener actualizados los archivos principales de su tienda Drupal y los módulos con el software más reciente. Todas y cada una de las actualizaciones están equipadas con parches de seguridad de vulnerabilidades que se encuentran en versiones anteriores. El uso de una versión desactualizada del software expondrá su tienda a una serie de amenazas y vulnerabilidades. Para actualizar su tienda, siga los pasos dados:

Para Drupal 7.xy 8.x

  • Seleccione ‘Actualizaciones disponibles’ de ‘Informes’
Actualizaciones disponibles de Drupal: captura de pantalla del proceso
Captura de pantalla del proceso
  • Para buscar actualizaciones, seleccione el ‘Verificar manualmente‘ opción
Verificación manual de actualización de Drupal: captura de pantalla del proceso
Captura de pantalla del proceso

Se recomienda encarecidamente que elija sabiamente su fuente de temas y módulos. Intente instalar módulos solo de empresas de renombre o del repositorio de Drupal. Esto garantizará la seguridad de su tienda Drupal.

2. Realice copias de seguridad de su tienda con regularidad

Una copia de seguridad garantizará la seguridad de sus archivos y carpetas en caso de que todo salga mal. Puede restaurar todo su sitio web con la ayuda de una copia de seguridad y no tendrá que iniciar su sitio web desde cero. Generalmente, una copia de seguridad incluye todos los archivos del núcleo y del módulo.

Pantheon es un host Drupal que ofrece una restauración y copia de seguridad con un solo clic. También proporciona un entorno de caja de arena para probar el propósito antes de introducirlos en el entorno principal. El software XAMPP o MAMP también se puede utilizar para probar localmente las actualizaciones antes de introducirlas en el sitio web en vivo.

3. Utilice nombres de usuario y contraseñas seguros y únicos

Según el enlace seguro, el 80% de los ataques implican violaciones de contraseña. De ahora en adelante, le recomendamos que elija sabiamente su nombre de usuario y contraseña. Es importante que su contraseña sea compleja y de naturaleza única, pero también es importante seleccionar un nombre de usuario complejo que un pirata informático no pueda predecir fácilmente. El uso de contraseñas seguras es una de las prácticas más sencillas para garantizar la seguridad de Drupal.

4. Módulos de seguridad

Hay varios módulos de seguridad disponibles en el mercado que pueden garantizar la seguridad de Drupal. Estos fragmentos de códigos se pueden usar para cumplir con casi cualquier requisito que su sitio web necesite (o pueda necesitar más adelante) sin contratar a un desarrollador. Por ejemplo, puede usar módulos de seguridad para proteger la página de inicio de sesión de su tienda, monitorear amenazas, verificar alteraciones, implementar contraseñas seguras y mucho más.

5. Permisos de archivos Drupal

Los archivos presentes en su sitio web contienen instrucciones importantes e información esencial para ejecutar las funciones de su sitio web sin problemas. El permiso no autorizado para estos archivos puede exponerlos a una serie de vulnerabilidades. Por lo tanto, es crucial restringir los permisos de archivo de una tienda Drupal solo a usuarios autorizados (con diferentes permisos, como opciones de lectura, escritura y modificación).

Permisos de archivos Drupal
Permisos de archivos Drupal

También puede bloquear los permisos a los archivos importantes (autorizar.php, actualizar.php, cron.php, install.php) de su directorio Drupal. Para denegar el permiso, escriba estos códigos en su archivo .htaccess.

<FilesMatch “(authorize|cron|install|upgrade).php”>
 Order deny, allow
 deny from all
 Allow from 127.0.0.1
 </FilesMatch>

6. Asegure el backend

Asegurar el backend de un sitio web tiene la misma importancia que proteger el administrador y la página de inicio de sesión de un sitio web. Es crucial fortalecer la defensa de su base de datos Drupal. El primer paso a seguir es establecer un prefijo de tabla único para que sea difícil de adivinar para los piratas informáticos. También protegerá su base de datos de la inyección SQL.

7. Certificación SSL

La certificación SSL garantiza que la comunicación entre dos servidores a través de Internet sea de naturaleza cifrada. La página de inicio de sesión de un sitio web debe tener certificación SSL para garantizar la seguridad de las credenciales del cliente. Sin el uso de una conexión HTTPS, es más fácil interceptar la transferencia de información. Una conexión HTTPS no solo asegura la comunicación, sino que también mejorará la clasificación SEO de su sitio web.

8. Cortafuegos de Drupal

Un firewall es una solución de un solo paso para una serie de problemas que puede enfrentar su sitio web. Es una forma ingeniosa de monitorear los intentos de piratería y frustrar los esfuerzos con solo un clic. Un firewall sólido como Astra no solo protegerá su sitio web de amenazas comunes como XSS, CSRF, SQLI, LFI, RFI, etc; pero también le ayudará en el bloqueo de IP y la monitorización de bots.

Cortafuegos Astra
Cortafuegos Astra

Conclusión

Asegurar y mantener una tienda Drupal puede resultar difícil si no sabe por dónde empezar. Es importante conocer las prácticas básicas de seguridad que todos y cada uno de los propietarios de sitios web deben implementar. Si estos pasos le resultan demasiado difíciles de seguir, Astra está aquí para ayudarle. Espero haber analizado las prácticas de seguridad importantes en esta guía. Sin embargo, si cree que hay algunas medidas de seguridad que deberían estar en la lista, no dude en dejar algunos comentarios.

.

Publicaciones relacionadas

Botón volver arriba