Top 9 módulos de seguridad para su sitio web en Drupal 9

03 August 2022
0 Comentarios
seguridad drupal

En los últimos años, se ha ampliado la facilidad para crear sitios web. Gracias a los sistemas de administración de contenido (CMS), como Drupal, los dueños de negocios ahora son responsables de la seguridad del sitio web. Sin embargo, muchos propietarios no saben cómo hacer que su sitio web sea seguro.

 

Ya sea que administre una empresa pequeña, mediana o grande, los usuarios esperan una experiencia en línea segura. Debe mantener segura la información del cliente y tomar todas las precauciones necesarias.

 

Si tiene un sitio web en Drupal 9 y desea tomar medidas de precaución, estos son los principales módulos de seguridad que lo ayudarán a proteger su sitio web.

 

1. Security Kit

 

SecKit proporciona a Drupal varias opciones de refuerzo de la seguridad y le permite mitigar los riesgos de explotación de diferentes vulnerabilidades de aplicaciones web. Este módulo de seguridad de Drupal 9 permite implementar la política de seguridad de contenido, controlar el filtro XSS interno de Internet Explorer/Apple Safari/Google Chrome, evitar el rastreo de contenido y servir archivos con un tipo MIME incorrecto, manejar el encabezado de solicitud HTTP de origen y mas . Catalyst IT y Acquia son las organizaciones de apoyo para este módulo.

 

Para mas información: https://www.drupal.org/project/seckit

 

2. Password Policy

 

El módulo de Password Policy le permite definir una política de contraseñas con un conjunto de restricciones que deben cumplirse antes de que se acepte un cambio de contraseña de usuario. Cada una de estas restricciones tiene un parámetro que permite el número mínimo de condiciones válidas que deben cumplirse antes de que se satisfaga la restricción. Este módulo de seguridad también implementa una función de caducidad de contraseña que obliga al usuario a cambiar su contraseña después de un período de tiempo establecido. El único inconveniente es que el módulo solo se aplica a las contraseñas establecidas a través de formularios de usuario en la interfaz web. Classic Graphics, Acquia, CivicActions, Mediacurrent y CI&T son las organizaciones de apoyo.

 

3. Username Enumeration Prevention

El módulo de Username Enumeration Prevention tiene como objetivo mitigar las formas comunes en que los usuarios anónimos identifican nombres de usuario válidos en un sitio de Drupal. La enumeración de nombres de usuario es una técnica utilizada por actores malintencionados para identificar nombres de usuario válidos en una aplicación web, que luego se pueden utilizar en otros ataques, como el relleno de credenciales. Con este módulo, puede recibir advertencias en los informes de estado del administrador si la configuración del sitio podría exponer los nombres de usuario, evitar que el formulario de restablecimiento de contraseña muestra los siguientes mensajes y convertir las respuestas 403 Acceso denegado a 404 No encontrado en los perfiles de usuario. PreviousNext es la organización de apoyo para este módulo de seguridad de Drupal 9.


 

4. Disable Login

Este módulo de seguridad de Drupal 9 es para sitios web que no están abiertos al público y no necesitan un inicio de sesión de usuario público como en un blog o un sitio web corporativo. Restringe el acceso al inicio de sesión predeterminada de Drupal de usuarios anónimos. El módulo protege el inicio de sesión con un nombre y  clave secreta que el administrador puede configurar. Cuando se accede sin la clave secreta, la página de inicio de sesión predeterminada mostrará un mensaje de acceso denegado. Esta clave secreta se puede modificar mediante programación para adaptarse a sus requisitos. Zyxware Technologies es la organización de apoyo para este módulo.

 

5. Flood Control

Este módulo de seguridad proporciona una interfaz para variables de control de hidden flood, como limitadores de intentos de inicio de sesión, y hace posible que los administradores del sitio eliminen direcciones IP e ID de usuarios de la flood table. El finalista es la organización de apoyo para este módulo de Drupal 9.

 

6. Two-Factor Authentication (TFA)

TFA es un módulo base para proporcionar autenticación de dos factores para su sitio Drupal. Drupal proporciona autenticación a través de un nombre de usuario y una contraseña, mientras que el módulo TFA agrega un segundo paso de autenticación con un cheque (como un código enviado o generado por su teléfono móvil). Este módulo de seguridad maneja el trabajo de integración con Drupal, proporcionando interfaces flexibles y bien probadas para permitir su elección de varias soluciones de autenticación de dos factores. El módulo almacena algunos datos confidenciales que cifra utilizando la extensión PHP OpenSSL, por lo tanto, deberá tener instalada la extensión OpenSSL para usar el módulo. Acquia apoya el desarrollo de Drupal 7, CARD.com apoya el desarrollo en curso y 1xINTERNET apoya el soporte de Drupal 8 y Drupal 9.

 

 

7. Key

Este módulo de Drupal 9 brinda la capacidad de mejorar la seguridad de Drupal al administrar claves confidenciales como API y claves de cifrado. Brinda a los administradores del sitio la capacidad de definir cómo y dónde se almacenan las claves, lo que permite la opción de un alto nivel de seguridad y permite que los sitios cumplan con los requisitos reglamentarios o de cumplimiento. El módulo de seguridad proporciona una página de administración donde los usuarios con el permiso de "administrar claves" pueden agregar, editar y eliminar claves. Townsend Security patrocinó el desarrollo inicial de este módulo y apoya el mantenimiento continuo con Cellar Door.

 

8. Encrypt

Encrypt es un módulo de seguridad de Drupal que proporciona una API para realizar cifrado simétrico o asimétrico. Permite integrar módulos para cifrar y descifrar datos de forma estandarizada. El módulo no proporciona ninguna función propia para el usuario, aparte de las páginas de administración para gestionar los perfiles de cifrado. Puede crear cualquier cantidad de perfiles de encriptación que luego pueden ser utilizados por otros módulos para encriptar y desencriptar datos. Townsend Security es una organización de apoyo para este módulo.

 

9. Security.txt

 

El módulo Security.txt permite que un sitio Drupal sirva un archivo security.txt y proporciona una interfaz de usuario de administración amigable. Proporciona una implementación del estándar security.txt que actualmente es un borrador de RFC. El propósito de este módulo de seguridad de Drupal 9 es proporcionar una forma estandarizada de documentar los datos de contacto y la política de seguridad de su sitio web. Esto permite que los usuarios y los investigadores de seguridad le revelen de forma segura las vulnerabilidades de seguridad. Le permite controlar los permisos otorgados a cada rol en /admin/personas/permisos. También puede proporcionar una firma digital para su archivo security.txt siguiendo las instrucciones en la pestaña 'Firmar' de la página de configuración del módulo.

 

creditos: https://www.thedroptimes.com/9316/top-security-modules-your-drupal-9-website?utm_source=drupal-newsletter&utm_medium=email&utm_campaign=drupal-newsletter-20220714