Drupal Cyber Security: La Guida per la sicurezza in Drupal

Drupal Cyber Security

Drupal Cyber Security: Drupal è uno dei framework e open-source CMS più diffuso. Dopo WordPress e Joomla, leader del settore, Drupal è il framework per siti web più apprezzato dai webmaster con una quota di mercato pari al 2,2% dei siti web presenti su Internet.

Check your website
START YOUR FREE TRIAL

Come abbiamo illustrato le minacce e gli strumenti da adottare per garantire la sicurezza dei siti web WordPress e Joomla, in questo articolo forniremo le indicazioni per implementare un adeguato Drupal Cyber Security Framework. Come con qualsiasi piattaforma principale, si presentano anche problemi di sicurezza aggiuntivi. Di seguito una guida completa di sicurezza che ti permette di contrastare e gestire le eventuali minacce e vulnerabilità grazie ad un layer strutturato di Drupal Cyber Security.

Nei prossimi paragrafi parleremo di:

  • Drupal Cyber Security: Le Vulnerabilità;
  • Top 10 Drupal Cyber Security check;
  • I Top 10 Moduli di Drupal Cyber Security;
  • Il Security Competence Center di Swascan.

Drupal Cyber Security: Le Vulnerabilità

Nel corso degli anni, Drupal, come gli altri CMS, è stato oggetto di diverse vulnerabilità e criticità. Nello specifico, dal 2002 al 2015 sono state elencate ben 290 nuovi CVE.

La particolarità è che il 46% di queste vulnerabilità sono di tipo Cross Site Scripting

Di seguito le vulnerabilità scoperte negli ultimi mesi che possono mettere a rischio il Drupal Cyber Security Framework:

Drupal Core – Multiple Vulnerabilities – SA-CORE-2018-006
Advisory ID: DRUPAL-SA-CORE-2018-006
Version: 7.x, 8.x
Date: 2018-October-17

Drupal Core – 3rd-party libraries -SA-CORE-2018-005
Advisory ID: DRUPAL-SA-CORE-2018-005
Version: 8.x
CVE: CVE-2018-14773

Drupal core – Highly critical – Remote Code Execution – SA-CORE-2018-004
Date: 2018-April-25
Security risk:  Highly critical
CVE IDs: CVE-2018-7602

Check your website
START YOUR FREE TRIAL

Drupal core – Moderately critical – Cross Site Scripting – SA-CORE-2018-003
Date: 2018-April-18
Security risk: Moderately critical

Drupal core – Highly critical – Remote Code Execution – SA-CORE-2018-002
Date: 2018-March-28
Security risk: Highly critical
CVE IDs: CVE-2018-7600

Drupal core – Critical – Multiple Vulnerabilities – SA-CORE-2018-001
Date: 2018- Febbrary-21
Security risk: Critical
CVE IDs: CVE-2017-6926

Top 10 Drupal Cyber Security Check

Quali controlli, strumenti e attenzioni adottare per assicurarsi che il Drupal Cyber Security layer sia strutturato correttamente? Ecco l’elenco dei top 10 Drupal Cyber Securty controls:

1. Mantenere Drupal e Moduli aggiornati

Mantieni aggiornato costantemente non solo il CMS Drupal ma anche tutti i relativi moduli. La versione aggiornata di Drupal è sempre disponibile su drupal.org. Utilizzare solo moduli, temi e plugin Drupal affidabili e testati. Sono sempre disponibili direttamente nel repository di Drupal stesso.

Check your website
START YOUR FREE TRIAL

2. Backup

Mantieni costantemente un backup del tuo sito web per poter garantire la business continuity in caso di attacco e al contempo per verificare e controllare, in caso di compromissione, le eventuali modifiche di file.

3. Username e Password

E’ fortemente consigliato non usare account di default e di utilizzare password complesse. Circa il 76% degli attacchi alle reti aziendali avviene proprio attraverso username di default, come admin, e sfruttando password deboli. Drupal permette la modifica del nome utente admin direttamente dalla dashboard. Quindi modifica semplicemente il valore nel campo “Nome utente”

4. Utilizzare Plugin Affidabili

Utilizza e sfrutta solo plugin e moduli Drupal affidabili e certificati. Sono a disposizione anche molti moduli utili per incrementare e strutturare il Drupal Cyber Security Framework.

5. Connessioni sicure

Usa sempre e solo connessione al sito sicure e affidabili. Utilizza la crittografia SFTP se il proprio host web lo fornisce, o SSH. Se si utilizza un client FTP, la porta predefinita per SFTP è in genere l la porta 22.

6. Host affidabile

Altra attenzione importante è la scelta dell’hosting. Non sempre hosting economici garantiscono un livello di sicurezza affidabile come già indicato nelle guide relative a WordPress CyberSecurity e Joomla Cyber Security.

7. Verifica autorizzazioni file

Controllare periodicamente le impostazioni e la configurazione delle autorizzazioni. Le directory e i file hanno diversi permessi che possono consentire di scrivere, leggere e modificare. Se la struttura delle autorizzazioni non è correttamente configurata e progettata, un terzo malintenzionato potrebbe compromettere l’intero impianto del Drupal Cyber Security Framework. Controlla la documentazione messa a disposizione da Drupal relativamente alla corretta progettazione delle autorizzazioni dei file e directory.

8. Database

Verifica i livelli di sicurezza del Database prestando, non solo attenzione al tema autorizzazioni e permessi, ma usando anche un prefisso di tabella diverso. Adottando prefissi complicati sarà molto più difficile che un Criminal Hacker possa individuarlo e in questo modo risulta più semplice prevenire attacchi di SQL Injection.

9. Certificato SSL

L’utilizzo del certificato SSL rientra nelle best practise di Web Security L’utilizzo di connessione non HTTPS mette a rischio le credenziali degli utenti poichè vengono inviate in chiaro su internet.

10. HTTP Security Headers

Impostare correttamente gli Header HTTP permette di irrobustire il Drupal Cyber Security Framework. Una piccola attenzione nella configurazione del server web. Queste “intestazioni” indicano al tuo browser come gestire correttamente i contenuti del sito in base alla stringa che viene presentata. E’ una delle attenzione per proteggersi dagli attacchi di redirect e Cross Site Scripting.

Check your website
START YOUR FREE TRIAL

I Top 10 Moduli di Drupal Cyber Security

Elenchiamo di seguito i migliori moduli/plugin di security che permetteranno di configurare correttamente il Drupal Cyber Security Framework:

1. Security Login

È un plugin che permette di:

  • Definire il numero di tentativi di login;
  • Bloccare automaticamente gli account;
  • Bloccare l’accesso IP.

2. Drupal Core Update Module

Permette di mantenere aggiornato e up-to-date il vostro database di Drupal.

3. Captcha

E’ sicuramente uno dei moduli di sicurezza Drupal più usati. Un modulo/plugin ideale per tutelarsi dagli spammer e dagli spambots.

.Check your website
START YOUR FREE TRIAL

4. Password Policy

Il modulo permette di definire le regole e le specifiche di impostazione password.

5. Security Review

Un modulo/plugin che permette di effettuare i controlli di impostazione del sito Drupal. Automatizza una serie di test come:

  • Code Execution;
  • XSS;
  • SQL Injection;
  • attività sospette di PHP o JavaScript.

6. Kit di sicurezza

Un modulo che permette di fornirti indicazioni per migliorare i tuoi sistemi di sicurezza ed irrobustire il Drupal Cyber Security Framework.

7. Session Limit

Impostare un limite al numero di sessioni simultanee per utente. Permette di ridurre il numero delle attività sospette.

8. Logout automatico

Effettua in automatico il logout al sito dopo un periodo di inattività.

9. Autenticazione a due fattori

Il modulo permette di implementare l’autenticazione a due fattori non necessariamente nelle password deboli degli utenti o nei moduli core privi di patch.

10. Vulnerability Assessment e Network Scan

Due attività che devono essere effettuate periodicamente. Stiamo parlando delle attività di:

permettono di identificare, analizzare e risolvere le criticità del proprio sito web. Tali servizi sono attivabili attraverso il portale Swascan www.swascan.com.

Queste attività forniscono un report dettagliato delle azioni di remediation che devono essere adottate per eliminare le vulnerabilità identificate.

Si precisa che questa attività, oltre a migliorare e strutturare correttamente il Drupal Cyber Security Framework, è un obbligo di legge previsto dalla nuova legge sulla privacy GDPR. Stiamo parlando dell’analisi del rischio tecnologico prevista dall’art. 32.

Il Security Competence Center di Swascan

Il Security Competence Center di Swascan, oltre alla piattaforma tecnologica, mette a disposizione dei propri clienti un Security Competence Center d’eccellenza per il:

  • Risk Management;
  • Compliance Management;
  • Security Management.

Risk Management

Effettua l’analisi e valutazione del livello di maturità del sistema di sicurezza al fine di definire una corretta security strategy:

  • Definizione e attuazione di Piani di Risk Assessment aziendali;
  • Definizione e attuazione di Piani di Risk Management aziendali;
  • Security Plan attraverso analisi del rischio, attuazione contromisure tecniche, organizzative e gap analysis.

Vulnerability Assessment e Penetration Test

Conduzione di attività di vulnerabilty assessment e penetration test per la verifica della sicurezza dei sistemi e delle infrastrutture:

  • Analisi dei codici sorgente degli applicativi attraverso tecniche di Code Auditing e Code Review;
  • Owasp Testing;
  • Scada security Testing.
Inizia il tuo Free Trial

 

Pierguido Iezzi :Da anni mi occupo di CyberSecurity e Digital Innovation. Ho fondato e seguo diverse start-up. La mia passione per la Sicurezza Informatica mi ha portato a lanciare Swascan di cui sono il Co-Fondatore insieme a Raoul Chiesa. Swascan è la prima piattaforma di CyberSecurity, in cloud, SaaS e Pay for Use. La mia frase è “Ognuno di noi è le risposte alle domande che si pone”.