Fortalecimiento de la seguridad en Drupal sin utilizar complementos [Review]

Enviado por Daniel Muñoz Egido el Mar, 05/05/2020 - 11:00

RODRÍGUEZ CHANG, Leobel; AGUILERA BLANCO, Leonardo, 2019. Fortalecimiento de la Seguridad en Drupal sin utilizar complementos. En: 2º Encuentro sobre Sistemas de Gestión para las Tecnologías de la Información y la Comunicación (SIGESTIC). Varadero (Cuba): SIGESTIC [consulta: 05 diciembre 2019]. Disponible en: http://scholar.google.es/scholar_url?url=http://ocs.biocubafarma.cu/index.php/sigestic/2019/paper/downloadSuppFile/278/140&hl=es&sa=X&d=8451872488860578588&scisig=AAGBfm1MIu8_MUQyFIzsDdw0erGuNf4ahA&nossl=1&oi=scholaralrt&hist=OI5Av1AAAAAJ:6834152261679341656:AAGBfm1BjyP_rrkYF19Cp-gMu3zb7rCG4g

 

El trabajo Fortalecimiento de la Seguridad en Drupal sin utilizar complementos fue presentado en el 2º Encuentro sobre Sistemas de Gestión para las Tecnologías de la Información y la Comunicación celebrado en Varadero (Matanzas, Cuba) entre los días 24 y 27 de setiembre de 2019.

Los Encuentros SIGESTIC son de carácter bienal y en ellos se reúnen especialistas de diversas áreas del conocimiento con el objetivo de divulgar los resultados de la investigación relacionados con el desarrollo de sistemas de gestión vinculados a los procesos de informatización de la sociedad.

En este trabajo se presentan varias soluciones para mejorar la seguridad de nuestra instalación de Drupal sin la necesidad de instalar ningún módulo adicional, para lo cual se tratan los siguientes aspectos:

  • Borrado de archivos residuales del proceso de instalación.
  • Supresión del metadato Generator y patrón versión.
  • Cambiar permisos de los directorios.
  • Cambiar la ubicación del archivo settings.php.
  • Deshabilitación del registro de usuarios si no va a ser utilizado.
  • Limitación de la publicación de mensajes de error.
  • Modificación de los valores de los generadores de claves por defecto.
  • Procesamiento de caracteres y codificaciones especiales.
  • Configuración de Robots.txt.
  • Cambiar los prefijos de las tablas en la base de datos.
  • Copias de seguridad
  • Prevención de la navegación por los directorios.
  • Incorporación de encabezados de respuesta HTTP de seguridad.
  • Restricción del acceso a la interfaz de administración.
  • Forzar la utilización de HTTP a HTTPS.
  • Restricción de permisos.
  • Utilización de complementos y temas más seguros.
Referencias
  1. Alghofaili, R. (2018). Security Analysis of Open Source Content Management Systems Wordpress, Joomla, and Drupal (Doctoral dissertation, California State Polytechnic University, Pomona).

  2. Aquino-Cruz, M., Ibarra, M., Peralta-Ascue, M., Ilasaca-Cahuata, E., & Apaza-Tarqui, A. (2018). Brute Force Attack To Exploit Vvulnerabilities of Websites with CMS Content Management System. KnE Engineering, 3(9), 14-25.

  3. Cooper, J. (2018). Migrating Ariadne from Drupal to a static site.

  4. Denham, B., Pears, R., & Connor, A. M. (2018). Evaluating the quality of Drupal software modules. International Journal of Software Engineering and Knowledge Engineering, 28(05), 663-700

  5. Evans, R. S., & Blais, L. (2019). Great Modules in Drupal 7... and Drupal 8...?.

  6. Galbreath, N., & Lackey, Z. (2018). U.S. Patent Application No. 15/890,036.

  7. Housley, R. (2018). Use of the Elliptic Curve Diffie-Hellman Key Agreement Algorithm with X25519 and X448 in the Cryptographic Message Syntax (CMS) (No. RFC 8418).

  8. Jenner, N. (2018). Building Websites for Beginners: Introduction to WordPress, Joomla, Wix and Drupal. CreateSpace Independent Publishing Platform.

  9. Lapteva, U., & Kuzyakov, O. (2018, October). Rationale for Principles of Developing Control and Protection of Web Content Using CMS Drupal. In 2018 International Multi-Conference on Industrial Engineering and Modern Technologies (FarEastCon) (pp. 1-6). IEEE.

  10. Lugar de publicación: Drupal.org. https://www.drupal.org/docs/user_guide/en/index.html

  11. Lugar de publicación: Drupal.org. https://www.drupal.org/project/project_module

  12. Patel, S. K., & Prajapati, J. B. (2018). Joomla, Drupal and WordPress SEO Comparison. Journal of Computer Technology & Applications, 9(1), 17-23.

  13. Rodriguez Sosa, A. V. (2019). An Authentication mechanism for stateless communication.

  14. Shah, D., Shah, V., Busa, S., & Correia, S. (2019, April). ALLIO-All in One Multithreaded Server. In 2018 Fourth International Conference on Computing Communication Control and Automation (ICCUBEA) (pp. 1-5). IEEE.

  15. So, P. (2018). Decoupling Drupal 8 Core. In Decoupled Drupal in Practice (pp. 57-80). Apress, Berkeley, CA.

  16. Stankevich, R. (2018). Basic guidelines for Drupal 8 projects in FCG. Vasileva, S., Yoveva, I., & Goranova, M. (2018). Innovative Approaches for Realization of Electronic Textbooks and Didactic Tests: Drupal CMS, Google Forms, Learningapps. In Marketing Initiatives for Sustainable Educational Development (pp. 59-91). IGI Global.

Daniel Muñoz Egido es Grado en Información y Documentación y  Máster en Bibliotecas y Servicios de Información Digital en la Universidad Carlos III de Madrid. En la actualidad está realizando su tesis doctoral en el Programa de Doctorado de la misma universidad enfocada a la gestión de contenidos en unidades de información.