Punti chiave
Considerato come uno dei migliori CMS open-source scritto in PHP, Drupal è ancora oggi ampiamente utilizzato nonostante la competizione di altre celebri piattaforme. Ideale per blog, community e siti business, Drupal può contare su un’attiva comunità di sviluppatori che contribuiscono a rendere costantemente disponibili temi e moduli per migliorare e tenere costantemente aggiornate le prestazioni della piattaforma. Tra questi “contributi” particolarmente utili e interessanti sono i plugin di sicurezza per Drupal, dei moduli che concorrono a migliorare la protezione e la sicurezza del CMS da attacchi e violazioni che nel tempo sono divenuti sempre più pericolosi e pervasivi.
Drupal è generalmente ritenuta una piattaforma abbastanza sicura anche in virtù dei costanti aggiornamenti rilasciati. Nonostante ciò è, però, indispensabile incrementare i livelli di sicurezza del proprio sito sviluppato in Drupal, ricorrendo a una serie di plugin che possono offrire un valido contributo su più fronti.
Quali sono, quindi, i quattro migliori plugin di sicurezza per Drupal?
I quattro migliori plugin di sicurezza per Drupal
Con tutti gli altri CMS oggi disponibili, Drupal condivide il pericolo di essere esposto ad attacchi di diversa natura che, in buona parte dei casi, riescono a sfuggire alle misure di sicurezza base, generalmente adottate dagli amministratori. Contro violazioni che si fanno sempre più insidiose è quindi necessario adottare delle misure di sicurezza adeguate che sappiano prevenire e intervenire in maniera tempestiva. Prima di vedere quali sono i quattro migliori plugin di sicurezza per Drupal è importante sfatare un mito, vale a dire la convinzione, abbastanza diffusa, che i programmi open-source siano più semplici da attaccare. Nel caso di Drupal, infatti, è vero che il codice è aperto a revisioni, ma è altrettanto vero che la comunità di utenti che utilizza il CMS può più rapidamente segnalare errori o bugs al Team Security di Drupal, il quale, a sua volta è prontamente in grado di investigare e di proporre soluzioni (le Security Advisories SAs), alle quali è possibile inscriversi in modo da poterle installare appena rese disponibili.
Plugin di sicurezza per Drupal: Password Policy
La protezione delle credenziali di accesso a un sito web è prioritaria anche perché una larga parte delle violazioni deriva proprio dal furto di questi dati. Per evitare la sottrazione di password e nomi utenti, uno dei migliori plugin di sicurezza per Drupal è certamente Password Security.
Si tratta di un modulo di semplice installazione che ha la capacità di definire le policy delle password da utilizzare sul proprio sito web, fissando una serie di “regole” che gli utenti sono tenuti a rispettare nel momento di creazione della password di accesso.
Grazie al plugin Password Policy l’admin può stabilire dei criteri che devono essere rispettati per la creazione di una password, criteri che possono riguardare una serie di parametri come, ad esempio, l’impiego di lettere maiuscole o minuscole, l’uso di caratteri numerici o alfanumerici, la lunghezza della password e così via.
Tramite questo plugin di sicurezza è inoltre consentito all’amministratore di fissare un tempo di scadenza per la password costringendo così l’utente (uno specifico utente o un intero ruolo) a cui è associata a cambiarla (con la possibilità opzionale di bloccare l’account al momento della scadenza della vecchia password). L’admin ha inoltre la possibilità di prevenire il fenomeno del riutilizzo di una password e di controllarne la struttura in termini di lunghezza, caratteri, riutilizzo e così via.
Plugin di sicurezza per Drupal: Two-Factor Authentication (TFA)
Two-Factor Authentication è anch’esso un plugin di sicurezza per Drupal dedicato alla protezione delle credenziali di accesso a un sito web.
Si tratta di un plugin molto efficace che, come il nome stesso già suggerisce, ha la funzione di incrementare i livelli di sicurezza dei dati di accesso al sito, prevedendo, in sostanza, due step di accesso. Ma in cosa consistono questi livelli di sicurezza aggiuntivi?
Al momento di registrazione di un account il plugin di sicurezza chiede all’utente di inserire anche un numero di cellulare al quale, poi, viene inviato un codice di verifica ogni volta che l’utente tenta di accedere al sito. Così dopo aver inserito username e password, l’utente riceve una password momentanea sul suo cellulare, password che dovrà essere inserita nella seconda pagina di login.
La funzione di questo plugin di sicurezza è evidente; ogni utente avrà accesso al sito solo inserendo anche la password momentanea inviata sul proprio numero di telefono il che significa che, anche nel caso di furto di credenziali, l’hacker non sarà in grado di entrare nel sito in quanto non disporrà della password momentanea.
Grazie a Two-Factor Authentication è quindi possibile rendere maggiormente sicuri gli account del proprio sito ed evitare che un furto di credenziali possa determinare ulteriori danni al proprio portale.
Download Two-Factor Authentication
Plugin di sicurezza per Drupal: Security Review
Security Review è un plugin di sicurezza per Drupal estremamente utile e di facile utilizzo in quanto è sufficiente scaricarlo, installarlo e avviarne le funzioni tramite il bottone “Run Checklist”. Si tratta, in sostanza, di un “supervisore” dei livelli di sicurezza del nostro sito web che ha la funzione di analizzare in maniera del tutto automatica diversi problemi di sicurezza che potrebbero essere riscontrati sul portale.
Questo modulo non interviene automaticamente per risolvere le eventuali problematiche di sicurezza rilevate sul sito web ma restituisce una chiara e dettagliata panoramica dei rischi rilevati e delle misure da adottare per risolverli.
Security Review è utile per monitorare diversi aspetti del nostro portale, così da prevenire violazioni di diverso tipo. Il plugin testa i permessi di accesso al sistema così da evitare l’esecuzione di codici arbitrari, protegge il sito da attacchi XSS (non permettendo tags pericolosi), rivela errori del database, riporta eventuali errori di sicurezza, tutela i file privati, consente solo l’installazione di estensioni sicure, segnala i tentativi di accesso non riusciti, protegge da attacchi brute-force, derivanti da “forzature” di password, e salvaguarda il sito da tentativi di phishing.
Plugin di sicurezza per Drupal: SpamSpan Filter
SpamSpan Filter è un plugin di sicurezza per Drupal che ha come compito principale quello di nascondere gli indirizzi e-mail presenti sul nostro sito al fine di evitare che questi vengano “collezionati” dagli Spam Bot.
Questo plugin di sicurezza utilizza Javascript per proteggere gli indirizzi e-mail (mostrandoli come link cliccabili) e nel caso in cui il codice Javascript sia disabilitato o non disponibile lato client converte gli indirizzi di posta elettronica in un formato standard, del tipo “[email protected]”.
In questo modo SpamSpan Filter riesce a gestire al meglio “l’ostacolo”, abbastanza comune, della capacità dei browser client di leggere o meno il codice Javascript.
Si tratta di un filtro di sicurezza abbastanza efficace in quanto, se da un lato è vero che gli Spam Bot possono ugualmente raccogliere gli indirizzi e-mail “nascosti” dall’altro è altrettanto improbabile che lo facciano, considerando anche il fatto che la maggior parte degli Sapam Bot non è in grado di leggere Javascript.