Hoje vamos falar um pouco sobre como evitar falhas de segurança no Drupal. A principal fonte de desse post é a palestra sobre segurança que assistimos no Drupal Developer Days, em Szeged, Hungria.

O que vamos tratar aqui algumas são algumas medidas, a maior parte delas muito simples, que podem evitar muita dor de cabeça.



 

1. Manter os módulos do core e contrib atualizados

É fundamental manter o core do Drupal e os módulos contrib com as atualizações de segurança em dia. Garanta que o módulo Update esteja habilitado e fique atento com as mensagens de aviso referentes desse tipo:

Você pode ver um relatório completo das atualizações disponíveis em admin/reports/updates.

2. Configure corretamente as permissões de usuário

Na página de configuração de permissões de usuário (admin/people/permissions) conceda permissões apenas a papeis de usuário confiáveis.

3. HTTPS

Se o seu site possuir páginas em que haja transação de informações críticas (ex: dados de cartão de crédito numa página de Checkout), é importante configurar essas páginas para que rodem sob o protocolo HTTPS. Para isso é necessário:

  • Parte chatinha: instalar um certificado no site (veja https://drupal.org/https-information). Para testar, acesse o site com https:// em vez de http://. Se a página abrir normalmente com https://, é porque você já pode fazer uso do protocolo.
  • Parte fácil: forçar as páginas críticas do site para que rodem sob HTTPS. Um módulo indicado para isso é o Secure Pages, cuja configuração é bem simples.

 

Este post está ficando muito longo, então vou quebra-lo em duas partes, para ser notificado quando a segunda parte for publicada, preencha seu nome e e-mail abaixo:

Receba as atualizações do nosso blog no seu e-mail

Comentar