Sicurezza di Drupal

Quando si mette online un nuovo sito web, è fondamentale implementare, fin da subito, strategie volte ad aumentarne i livelli di sicurezza. Solo in questo modo si possono limitare attacchi e minacce esterne come il phishing, il defacement, l’SQL Injection, il Cross-Site Scripting, i quali possono portare a furto di dati, reindirizzamenti malevoli, perdita di contenuti, problemi di privacy e via dicendo. Su tutti i piani di VHosting è presente il VHosting Security che blocca una buona parte degli script.I problemi di sicurezza sono numerosi e riguardano tutti gli spazi virtuali, dai siti web agli eCommerce. Questo articolo si occupa in particolare di Drupal e spiega come procedere per proteggere dagli attacchi online gli spazi virtuali creati con questo CMS.

Sicurezza di Drupal: da dove cominciare

Il primo passo da compiere per partire con il piede giusto consiste nello scegliere con attenzione l’hosting provider che ospiterà il sito. In particolare, per iniziare fin da subito a lavorare sul lato sicurezza, è necessario accertarsi che metta a disposizione hardware aggiornati, assistenza tecnica costante, buoni livelli di sicurezza e backup periodici automatici.Una volta scelto l’hosting provider e il servizio di hosting più adatti, si può cominciare a creare il sito web. In questa fase, è indispensabile scegliere temi e moduli che siano al contempo affidabili, stabili e aggiornati. A seconda delle caratteristiche che dovrà avere il sito, sarà possibile farli programmare da dei professionisti oppure affidarsi a quelli già pronti, presenti sul sito ufficiale di Drupal, alla sezione “Download”. In questo secondo caso, per andare sul sicuro, è preferibile optare per i progetti approvati dal team Drupal e coperti dalla Security Advisor Policy.Questi elementi non vengono installati una volta per sempre, ma devono essere sottoposti ad aggiornamenti costanti, così da non diventare obsoleti, poter contare sulla correzione di bug e vulnerabilità, e non risultare eccessivamente esposti a nuovi attacchi informatici. Nel caso in cui un tema o un modulo non offrisse più versioni aggiornate, sarebbe fondamentale sostituirlo con uno simile, ma aggiornato.Naturalmente l’aggiornamento non è fondamentale solo per temi e moduli di Drupal, ma anche per il CMS stesso, il quale, proprio per lo stesso motivo, dovrebbe venire aggiornato ogni volta che ne vengono rilasciate nuove versioni stabili.

La sicurezza di accessi, login e autorizzazioni su Drupal

Implementare una strategia volta a rendere più sicuri login e accessi è fondamentale per complicare la vita ai malintenzionati e rendere l’hackeraggio del sito più difficile.Dopo aver sostituito l’username dell’amministratore, assegnato di default dal sistema, con uno personalizzato e più complesso, si può focalizzare l’attenzione su:

• sicurezza del login: il primo metodo per rendere i login sicuri consiste nello scegliere delle password complesse, composte da lunghe combinazioni di numeri, lettere maiuscole e minuscole, e simboli. Sfruttando il modulo “Password Policy”, è possibile stabilire delle regole personalizzate per le password. Altri sistemi che possono aiutare a rendere i login ancora più sicuro sono:
  • l’autenticazione a due fattori: può essere attivata ricorrendo al modulo “Two-factor authentication (TFA)” o altro simile
  • il Captcha: anche in questo caso, è possibile affidarsi al modulo omonimo, a “reCAPTCHA”, il quale presenta funzionalità aggiuntive e un controllo più sofisticato, o moduli simili
  • la limitazione degli inserimenti errati durante il login: installando il modulo “Login Security”, è possibile limitare le prove di login, bloccando i tentativi d’accesso in caso di errori reiterati
• sicurezza delle sessioni: per rendere le sessioni utente più sicure è possibile sfruttare i moduli “Session Limit”, il quale consente di impostare un limite massimo di sessioni simultanee per ogni utente, e “Automated Logout”, pensato per impostare il logout automatico dopo un certo periodo di inattività, nonché per stabilire limiti di tempo diversi in base al ruolo
• accessi: per mantenere in sicurezza il sito Drupal, è necessario monitorare quotidianamente gli accessi, così da individuare subito eventuali anomalie, e gestire con attenzione le autorizzazioni concesse a ogni utente, limitandole, secondo il Principio del Privilegio Minimo, a quelle strettamente necessarie.

Evitare perdite di dati

Scegliere password sicure, controllare gli accessi, limitare i privilegi e usare i moduli Drupal per aumentare la sicurezza di login e sessioni utente sono tutte pratiche fondamentali per evitare la perdita o la modifica di dati. In alcuni casi però non sono sufficienti. Può infatti capitare che qualche malintenzionato riesca a superare tutti i sistemi di sicurezza e, una volta entrato, modifichi o cancelli parte dei contenuti o dei dati del sito. Anche problemi tecnici o errori umani possono causare la perdita dei contenuti del sito.Per non correre il rischio di perdere dati e contenuti importanti, è indispensabile effettuare backup periodici, manualmente o utilizzando moduli specifici.

Ulteriori passaggi per aumentare la sicurezza di Drupal

I sistemi per rendere un sito Drupal sicuro e a prova di hacker non finiscono certo qui. Alle numerose procedure viste sopra è necessario affiancare:

• connessioni affidabili

• certificati SSL con buoni livelli di sicurezza

• firewall aggiornati.

Tra i moduli aggiuntivi ai quali è possibile ricorrere per aumentare ancora di più e tenere sotto controllo la sicurezza di Drupal vi sono “Security Kit”, utile per ridurre i rischi di Cross-Site Scripting, Clickjacking, Cross-Site Request Forgery e via dicendo; “Security Review”, il quale consente di effettuare il rilevamento degli errori che possono rendere il sito vulnerabile; “Paranoia”, utile per individuare punti vulnerabili del sito e proteggerlo da malintenzionati che sono riusciti ad avere accesso a permessi di livello alto.