Sicurezza Drupal: consigli per ridurre i rischi

Drupal è uno dei CMS più utilizzati, come WordPress o Joomla: milioni di persone nel mondo lo utilizzano per dar vita ad i propri progetti online come siti, portali o blog. In particolare Drupal è un sistema molto potente e stabile, come abbiamo visto nell’articolo nel quale ci siamo chiesti quale sia il migliore CMS. Cerchiamo di capire cosa si può fare per aumentare la sicurezza di Drupal, con dei semplici accorgimenti.

Il fatto che venga utilizzato da così tante persone espone ad un rischio: gli hacker malintenzionati hanno interesse nel trovare falle nel sistema per poter essere in grado di bucare una grande quantità di siti. Tuttavia, grazie al costante ed ottimo lavoro del team di sicurezza Drupal, il sistema è al riparo dalla maggior parte dei problemi di sicurezza, tanto da essere impiegato dagli Stati Uniti e dal Governo Britannico per i loro siti istituzionali.

Aggiorna Drupal e i componenti aggiuntivi

Tieni sempre Drupal  aggiornato: quando aggiorni l’installazione di base o i componenti aggiuntivi questi vengono riscritti: lasciarli non aggiornati significa lasciare a disposizione di chi vuole trovare delle falle un codice sempre uguale, da poter studiare a fondo sol fine di bucarlo. Inoltre gli aggiornamenti servono proprio a correggere delle problematiche e rendere il sistema più efficiente: quando viene segnalato un aggiornamento è importante farlo, anche per aumentare la sicurezza dell’intero sito su Drupal.

Tieniti aggiornato anche tu: visita periodicamente il sito ufficiale di Drupal, per controllare che non vi siano importanti notizie relative alla sicurezza: se viene riscontrato un problema comune infatti l’attenta community lo segnalerà sicuramente.

Per gli aggiornamenti del core, ossia dell’installazione base visita http://drupal.org/security

Per gli aggiornamenti dei moduli aggiuntivi, visita http://drupal.org/security/contrib

Non dimenticare neppure di rimuovere i moduli e componenti che non usi più, assicurandoti che le relative tabelle del database vengano cancellate.

Configura i permessi degli utenti

Tieni sempre sotto controllo gli utenti ed i privilegi a loro concessi: limita al minimo gli account amministratore e chiedi a chi ne possiede uno di utilizzare mail e password sicure, poiché un furto dei dati di accesso di un profilo amministratore aprirebbero le porte del sito ai malintenzionati. Controlla accuratamente anche gli altri ruoli: concedi agli utenti i permessi per fare solo quello che consideri opportuno.

Cambia le password periodicamente

Questo è un consiglio generale che prescinde da Drupal ma che si può applicare anche ad esso: cambia frequentemente le password dei servizi che utilizzi per il tuo sito in Drupal: dalla mail all’account, ma senza dimenticare spazio web e database. Invita gli altri amministratori a fare lo stesso, ogni account potrebbe essere la porta d’accesso al sito.

Scegli temi e moduli Drupal con attenzione alla sicurezza

Nella scelta di un tema Drupal, non dimenticare di assicurarti della qualità del codice e soprattutto della frequenza degli aggiornamenti da parte dello sviluppatore. Non basarti soltanto sui requisiti estetici: non installare temi trovati casualmente su internet, meglio scegliere i temi da siti affidabili come l’archivio dello stesso portale ufficiale di Drupal. Scegliere un tema a pagamento per Drupal è un’ottima cosa: un piccolo investimento garantisce nel più dei casi un’assistenza dedicata e garanzie di aggiornamenti e sicurezza, con maggiori probabilità di conciliare l tutto con l’estetica che reputi migliore.

Imposta i permessi delle cartelle e dei file di Drupal nel server

Controlla via FTP i permessi di file e cartelle: i file e le directory non devono mai avere i permessi 777, anche e soprattutto perchè necessari a Drupal per funzionare. Imposta i permessi delle cartelle a 750 o 755 e dei file a 644 o 640, salvo indicazioni specifiche dei moduli.

Moduli consigliati per la sicurezza di Drupal

Per quanto riguarda i moduli da poter installare per avere maggiore tranquillità, ne segnaliamo due: i migliori e sicuramente quelli che garantiscono in compartecipazione la soluzione ideale per la sicurezza di Drupal.

  •  Security Review: (http://drupal.org/project/security_review) Controlla vari aspetti dell’installazione di Drupal, compresi i permessi dei file di sistema, il controllo utente, il database e gli eventuali errori. Questo modulo è arricchito dalla segnalazione interattiva su come risolvere gli eventuali problemi: non si limita a dirti che qualcosa non va, ma suggerisce anche le possibili soluzioni.
  • Secure Login: (http://drupal.org/project/securelogin) Grazie a questo componente gli accessi saranno più sicuri e protetti, in modo che le informazioni sensibili degli account, come nome, email e password, non finiscano nelle mani sbagliate.

Conserva sempre una copia di backup del sito aggiornata e completa

La regola delle regole: se subisci un attacco che elimina o danneggia il sito è importante che tu abbia la possibilità di ripristinarne una versione che sia il più recente possibile. Chiaramente non puoi sapere se e quando il tuo sito verrà preso di mira: per questo tieni sempre una copia fresca dei tuoi contenuti, sia dello spazio web FTP, sia del database.

La frequenza con la quale dovrai fare il backup dipende da quella con la quale i contenuti del sito in Drupal sono aggiornati: sappi che quando conservi una copia di backup stai salvando tutto quello che c’è sul sito in quel momento, tutto quello ch viene inserito tra un backup e l’altro non verrà chiaramente salvato.

Per realizzare una copia di backup dell’intero sito ci sono due vie: la prima è quella di chiedere il servizio al tuo hosting se non è incluso nel pacchetto che hai acquistato, la seconda è quella del farlo manualmente. In ogni caso, per essere sicuro di avere un backup perfettamente funzionante, non perdere l’articolo dedicato agli errori comuni nel fare un backup.

 

Seguendo questi consigli aumenterai considerevolmente la sicurezza della tua installazione di Drupal, potentissimo CMS in grado di dar vita a progetti validi, complessi e..sicuri!

Se hai dubbi o ti va di dirci le tue considerazioni non esitare, lascia un commento e saremo felici di risponderti.

We will be happy to hear your thoughts

Leave a reply