Seidor
Contacto
  • Talento
hombre usando un ordenador

05 de juny de 2024

Seguretat en Drupal

La seguretat en llocs web Drupal depèn sobretot de mantenir actualitzada a l'última versió el nucli de Drupal i tots els seus mòduls contribuïts. No obstant això, la seguretat també la podem millorar amb altres accions complementàries que analitzarem a continuació.

SEIDOR
Customer Experience

Seguretat en Drupal

El Drupal Security Team és un equip de la comunitat de drupal.org que s'encarrega constantment de revisar el codi font del nucli de Drupal i dels seus mòduls contribuïts per avaluar-ne la seguretat. Al llarg del temps, van corregint vulnerabilitats de seguretat del nucli i es cuiden d'informar els responsables dels mòduls contribuïts perquè les corregeixin. A la pàgina administrativa d'actualitzacions de Drupal (DRUPAL_URL/admin/modules/update), distingirem una actualització de seguretat d'una estàndard perquè en la primera surt amb un color vermell de fons. És molt important que anem instal·lant les actualitzacions de seguretat a mesura que van sortint. En efecte, encara que creguem que una vulnerabilitat coneguda del nostre lloc web potser no ens afecti directament, podria ser utilitzada per algú per escalar privilegis en el nostre sistema. Per tant, mai no hem de minimitzar el risc d'una vulnerabilitat i actualitzar a l'última versió tan aviat com sigui possible.

A més, cal revisar la configuració de Drupal i dels mòduls que tinguem instal·lats tenint present la seguretat. Per exemple, ens podríem fer aquestes preguntes:

  • Hem de permetre que un usuari anònim es pugui registrar al sistema sense el vistiplau de l'administrador?
  • Els permisos que s'han assignat als rols d'usuari són els mínims imprescindibles perquè puguin realitzar les seves funcions?

D'altra banda, també pot ser una bona idea encarregar una auditoria de seguretat externa perquè s'analitzi el nostre lloc web. Això és ideal en els casos en què el nostre lloc web depèn en gran mesura de codi font personalitzat i es torna indispensable quan estem parlant d'una botiga en línia. Hem de ser conscients que el codi font personalitzat no és segur per definició pel mer fet de no ser públic. En efecte, un codi font personalitzat segur ha d'utilitzar mètodes API que ja proporciona Drupal per filtrar els paràmetres d'entrada (GET i POST) i per interactuar amb la base de dades.

Finalment, per millorar la seguretat del nostre lloc web Drupal també podem instal·lar un WAF (Web Application Firewall) o bé instal·lar i configurar mòduls contribuïts.

Autor

SEIDOR

SEIDOR és una consultora tecnològica que ofereix un portafoli integral de solucions i serveis que cobreixen els àmbits d'Intel·ligència Artificial, Edge, Customer Experience, Employee Experience, ERP, Data, Application Modernization, Cloud, Connectivitat i Ciberseguretat. Amb una facturació de 767 milions d'euros en l'exercici 2022 i una plantilla formada per més de 9.000 professionals altament qualificats, SEIDOR té presència directa en 45 països d'Europa, Amèrica Llatina, Estats Units, Orient Mitjà, Àfrica i Àsia. La consultora és partner dels principals líders tecnològics.