Consejos para mantener un sitio Drupal seguro

 

Drupal es un sistema de gestión de contenido modular multipropósito y muy configurable que permite publicar artículos, imágenes, u otros archivos y servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos. Drupal es un sistema dinámico: en lugar de almacenar sus contenidos en archivos estáticos en el sistema de ficheros del servidor de forma fija, el contenido textual de las páginas y otras configuraciones son almacenados en una base de datos y se editan utilizando un entorno Web.

Es un programa libre, con licencia GNU/GPL, escrito en PHP. Luego de instalar se sugiere lo siguiente:

 

1-       Habilite el módulo Update. Este módulo incluído en Drupal 6 y disponible para Drupal 5 bajo el nombre de Module Update Status, indica si hay algún módulo que esté desactualizado.

 

2-       Revise los reportes de seguridad de Drupal. Lea de que se trata el reporte y cuan crítico es.

 

3-       Controlar los permisos de archivos, específicamente el archivo settings.php ubicado en sites/drupalx/ debido a que supone un riesgo de seguridad, permitiendo a algún atacante leer la clave de acceso a la base de datos del sitio. Para verificar el estado en Administrar-> Reportes -> Reporte de estado.

 

4-       Drupal posee una capa de abstracción de base de datos para evitar ataques, se debe usar para que el código sea más robusto.

 

5-      Se debe activar la posibilidad de ejecutar código en PHP, esto se encuentra desde un módulo aparte que viene desactivado por defecto. PHP filter (permite la evaluación de fragmentos de código PHP).

 

6-       Para evitar ataque de tipo XSS (explotación de vulnerabilidades del sistema de validación de HTML incrustado.), veriricar los filtros de entrada, nunca permitir HTML, sin filtrar los contenidos, solo permita etiquetas confiables. Actualizar siempre los modulos si presentan fallas de seguridad.

 

7-       Deshabilita las creaciones de cuentas de usuarios anonimos. Por defecto Drupal deja que los usuarios anónimos creen cuentas sin preguntar. Deshabilita la creacián de cuentas no aprobadas en Administer > User management > User settings.

 

8-       Crea Roles de usuarios. Los roles en Drupal son nombres que se le dan a una serie de permisos que se pueden asignar a los usuarios. Los roles con los que Drupal viene por defecto son Usuario anónimo y Usuario autenticado (que inicio sesión). Evidentemente solo estos dos roles no ofrecen la suficiente granularidad  a la hora de definir permisos. Considera crear un rol Autor para el grupo de usuarios que va a insertar y editar el contenido, Moderador para los usuarios que van a administrar los comentarios y a borrar los comentarios ofensivos y un rol Administrador para los usuarios que puedan hacer modificaciones a la configuración del sitio. Puedes crear los roles en Administer > User management > Roles.

 

9-      Asigna los roles a los usuarios. Con los roles creados, edita cada una de las cuentas de los usuarios y asignales su rol. Las cuentas de los usuarios estan en Administer > User management > Users.

 

10-  Configura los permisos. Aunque no hayas creado ningún rol, asegúrate de configurar los permisos. Dirígete a Administer > User management > Access control y comienza por deseleccionar todo. Ahora vuelve y permite que los usuarios anónimos puedan ver algo o todo el contenido, pero nunca lo dejes agregar contenido o administrar tu sitio. Si planeas dejar que otras personas tengan cuentas en tu sitio, restringe los permisos a lo mínimo necesario. No asignes un permiso a menos que sepas que un rol lo necesita.

 

¿Fue útil la respuesta?

 Imprimir éste Artículo