6 Mayo 2016

Los 10 mejores consejos de seguridad en Drupal

Si eres un usuario de Drupal y quieres proteger tu web de ataques y hackers, entonces estás en el sitio adecuado.

Últimamente, sobre todo a raíz del hackeo de los famosos papeles de Panamá, han surgido muchos artículos sobre la vulnerabilidad de los sitios web que usan CMSs. Muchos de estos artículos son simplemente intentos oportunistas de menospreciar estas herramientas sin ninguna base seria. Los CMSs, y más concretamente Drupal, son herramientas y su eficiencia y seguridad no es válida por sí sola. No es una barita mágica que se enciende y ya está, como cualquier otra herramienta de desarrollo, la seguridad hay que trabajarla y configurarla de una manera óptima. Lo que sí es cierto que la seguridad en Drupal está más que probada, siendo el CMS preferido en las webs gubernamentales y sitios oficiales.

Es por esto que en este post vamos a compartir los mejores 10 consejos para aumentar la seguridad de tu sitio web. Con estos consejos podrás asegurarte de que tus módulos y el código del núcleo de tu Drupal estén al día con las últimas versiones de seguridad, haciendo que tu web sea mucho más robusta. Comencemos:

1. Estar siempre informado de las noticias sobre seguridad

Es importante hacer un hábito el informarse sobre las alertas de seguridad de Drupal. Además puedes conseguir alertas de seguridad de los siguientes sitios:

  • Twitter
  • Grupos de Facebook
  • Lista de Emails: Iniciar sesión en Drupal.org. Ir a tu perfil y suscribirse al newsletter de seguridad en la pestaña de Edit > My newsletters
  • RSS Feeds

2. Usar Drush para actualizar tu sitio web

Descargar los módulos de Drupal y el core y aplicarlo en tu código manualmente. Esto puede, a la larga, resultar cansino y tedioso. Así que, si quieres hacer este proceso de una manera más fluida y sencilla, puedes usar unos pocos comandos de Drush:

  • Puedes comprobar que ha cambiado: Pm-update-pipe (alias: up --pipe) : lista de proyectos que necesitan ser actualizados. Ahora solo tienes que echarle un vistazo y ver las notas para saber qué es lo que ha cambiado.
  • Puedes ejecutar las actualizaciones en un solo proceso: Drush pm-update (alias: up) Así podrás actualizar módulos, el core de Drupal, los themes e incluso instalar cualquier actualización pendiente de tu base de datos.

3. Comprobar el informe de actualizaciones regularmente

El informe de actualizaciones te avisará de cuestiones de seguridad en tu web, como un core caducado, módulos o bases de datos  que necesitan ser actualizados o instalados…

De hecho, puedes obtener un aviso cuando haya cualquier actualización disponible añadiendo tu email aquí: /admin/reports/updates/settings

4. Elige un servidor que en el que se pueda confiar y sea seguro

No hay duda, Drupal es una plataforma CMS de código libre y abierto y puede funcionar bien en los servidores web que soportan bases de datos en MySQL y PHP. De hecho, actualmente, hay muchos hosting que están añadiendo este paquete para atraer a usuarios de Drupal, pero no todos ellos pueden dar un entorno seguro y protegido. Por eso, lo mejor es elegir un hosting fiable que pueda reducir la frecuencia de ataques de piratas mediante el uso de algunas de las tecnologías más actuales de seguridad tales como SSL, SSH o cortafuegos. El hosting también juega un papel muy importante en la seguridad de una web.

El hosting también juega un papel muy importante en la seguridad de una web.

5. Actualiza con regularidad tu núcleo de Drupal (Drupal core)

Es importantísimo tener tu Drupal core y los módulos actualizados y al día. Esto se debe a que las nuevas versiones estándar son solo publicadas cuando se han eliminado todas las lagunas y problemas. Una vez que una nueva versión de Drupal es lanzada, las vulnerabilidades de la versión anterior se hacen públicas. Esto significa que los hackers pueden entrar en tu sitio si este no está actualizado a la última versión. El Opensource es así.

6. Usa CAPTCHA para proteger tu sitio

CAPTCHA son las siglas de ‘Completely Automated Public Turing test to Tell Computers and Humans Apart’. Esto es un mecanismo para discernir entre usuarios humanos y bots. Para ello se muestra un mezcla aleatoria de números y letras para que sean copiados por los usuarios. De esta forma, los webmasters pueden usarlo para bloquear los bots de spam.

7. Usa módulos de seguridad

Drupal tiene muchos módulos que pueden ser usados para mejorar la seguridad de tu web. Las categorías más comunes de seguridad son User Access, Spam Prevention y Security. Por eso es buena idea meterse en Drupal.org para descargar e instalar los módulos necesarios para el sitio.

8. Obstaculiza el acceso a tus ficheros importantes

Puedes bloquear el acceso a algunos archivos importantes como son upgrade.php, install.php o authorize.php, mediante .htaccess. Usando este código, puedes restringir el acceso a algunos de estos delicados archivos:

<FileMatch “(authorize|cron|install|updgrade)\.php”>
Order deny, allow
deny from all
Allow from 126.0.0.1
</FileMatch>

9. Asegura tu Login

La seguridad de las operaciones de inicio de sesión es una de las partes importantes que los webmasters deben tener en cuenta. Por ejemplo, si eres el webmaster de un sitio, deberías poner un máximo de intentos de login inválidos y asegurarte que las IPs que están intentando hackear tu passwords queda baneada temporal o permanentemente. La mejor manera de hacer esto es usar el mejor y más potente módulo de Drupal, Login Security. Es una herramienta muy efectiva que no solo controla y restringe el acceso, sino que tiene notificaciones mediante email.

10. Haz copias de seguridad de tu web en Drupal

Es un hábito muy recomendable el realizar copias de seguridad de tu sitio web regularmente. Así, si tu sitio ha sido hackeado, puedes restaurarlo fácilmente ;)


Estos son los 10 consejos que consideramos más importantes a la hora de proteger tu sitio Drupal. ¿Consideras que hay alguno que nos hemos dejado en el tintero? No dudes en dejarnos tu opinión en los comentarios.