Seidor
Contato
  • Talento
hombre usando un ordenador

05 de junho de 2024

Segurança no Drupal

A segurança em sites Drupal depende principalmente de mantermos o núcleo do Drupal e todos os seus módulos contribuídos atualizados para a versão mais recente. No entanto, a segurança também pode ser melhorada com outras ações complementares que analisaremos a seguir.

SEIDOR
Customer Experience

Segurança no Drupal

O Drupal Security Team é uma equipe da comunidade de drupal.org que se encarrega constantemente de revisar o código-fonte do núcleo do Drupal e de seus módulos contribuídos para avaliar sua segurança. Ao longo do tempo, vão corrigindo vulnerabilidades de segurança do núcleo e se cuidam de informar os responsáveis pelos módulos contribuídos para que as corrijam. Na página administrativa de atualizações do Drupal (DRUPAL_URL/admin/modules/update), distinguiremos uma atualização de segurança de uma padrão porque na primeira aparece com um fundo vermelho. É muito importante que instalemos as atualizações de segurança à medida que vão saindo. De fato, embora acreditemos que uma vulnerabilidade conhecida do nosso site talvez não nos afete diretamente, ela poderia ser utilizada por alguém para escalar privilégios em nosso sistema. Portanto, nunca devemos minimizar o risco de uma vulnerabilidade e atualizar para a última versão o mais rápido possível.

Além disso, é necessário revisar a configuração do Drupal e dos módulos que temos instalados tendo em mente a segurança. Por exemplo, poderíamos nos fazer estas perguntas:

  • Precisamos permitir que um usuário anônimo possa se registrar no sistema sem a aprovação do administrador?
  • Os permissões que foram atribuídas aos papéis de usuário são os mínimos indispensáveis para que possam realizar suas funções?

Por outro lado, também pode ser uma boa ideia contratar uma auditoria de segurança externa para que se analise nosso site. Isso é ideal nos casos em que nosso site depende em grande medida de código-fonte personalizado e se torna indispensável quando estamos falando de uma loja online. Devemos estar cientes de que o código-fonte personalizado não é seguro por definição pelo simples fato de não ser público. De fato, um código-fonte personalizado seguro deve utilizar métodos API que já são fornecidos pelo Drupal para filtrar os parâmetros de entrada (GET e POST) e para interagir com o banco de dados.

Finalmente, para melhorar a segurança do nosso site Drupal também podemos instalar um WAF (Web Application Firewall) ou instalar e configurar módulos contribuídos.

Autor

SEIDOR

A SEIDOR é uma consultora tecnológica que oferece um portefólio completo de soluções e serviços que abrangem Inteligência Artificial, Edge, Experiência do Cliente, Experiência do Colaborador, ERP, Dados, Modernização de Aplicações, Cloud, Conectividade e Cibersegurança. Com um volume de negócios de 894 milhões de euros em 2023 e uma equipa composta por mais de 10.000 profissionais altamente qualificados, a SEIDOR está presente em 45 países na Europa, América Latina, Estados Unidos, Médio Oriente, África e Ásia. A consultora é parceira dos principais líderes tecnológicos.