O Drupal é geralmente não a primeira opção considerada por Joe e Joanne ao iniciar um novo site, de acordo com estatísticas. Apenas aproximadamente 1,5% dos sites que utilizam um Sistema de Gerenciamento de Conteúdo (CMS) são baseados no Drupal.
Entretanto, ao investigar mais detalhadamente, é possível observar uma tendência interessante nos dados de uso. Atualmente, de acordo com a BuiltWith, aproximadamente 2,4% dos 1 milhão de sites principais são construídos com Drupal. Ao analisar os 100 mil melhores sites, esse número sobe para 5,4%, e nos 10 mil melhores sites, a participação de mercado do Drupal aumenta para 6,2%.
Parece que quanto mais famoso o site se torna, maior a probabilidade de ser desenvolvido com Drupal. Há uma variedade de projetos de grande porte e com alto tráfego que utilizam esse sistema de gerenciamento de conteúdo, tais como os sites da Tesla, do prefeito de Londres, do primeiro-ministro da Austrália, entre outros.
As pessoas responsáveis por esses sites não optariam por uma plataforma que não fosse segura e também se certificarão de que o CMS escolhido seja o mais protegido possível.
Hoje, iremos apresentar algumas das técnicas mais eficazes para realizar essa tarefa.
O Drupal é uma plataforma segura?
A segurança é um aspecto fundamental a ser considerado por todo dono de site, portanto, ao selecionar uma plataforma para o seu projeto, é essencial certificar-se de que ela seja resistente o bastante.
A realidade é que a maioria das opções a serem avaliadas para o seu próximo projeto seguem um padrão específico. A menos que você esteja explorando algo inovador, é provável que o aplicativo que escolherá já tenha sido testado como uma plataforma adequada para um website convencional. Isso certamente se aplica ao Drupal.
Ele surgiu pela primeira vez em 2001, o que o torna mais antigo do que os seus principais concorrentes. Durante os últimos vinte anos, os responsáveis pelo projeto tiveram oportunidade para estabelecer e aplicar normas e políticas visando garantir a segurança e confiabilidade do ecossistema Drupal.
Drupal é completamente de código aberto.
Drupal foi originalmente desenvolvido como um projeto de código aberto e mantém essa abordagem até os dias de hoje. Isso quer dizer que qualquer pessoa pode acessar o código fonte do sistema de gerenciamento de conteúdo (CMS), examiná-lo, ajustá-lo e compartilhá-lo.
Em um aspecto, isso implica que o aplicativo pode ser utilizado gratuitamente. Qualquer indivíduo tem a possibilidade de fazer o download do Drupal no site oficial e instalá-lo em sua conta de hospedagem web sem qualquer custo.
Por outro lado, o CMS possibilita que especialistas e engenheiros examinem o código em busca de falhas de segurança ou erros. A comunidade open-source não tem motivos para ocultar vulnerabilidades, então elas são prontamente comunicadas à equipe de desenvolvimento da Drupal, que trabalha na criação de uma correção e a disponibiliza rapidamente aos usuários.
Drupal possui um grupo de profissionais focados em segurança.
Diferentemente de outros projetos de código aberto, a Drupal conta com uma equipe especializada de engenheiros e desenvolvedores focados em segurança. Eles se dedicam a garantir a aplicação de elevados padrões de codificação no núcleo e na API principal, além de assegurar a manutenção contínua de todos os módulos. Essa equipe cria documentação para auxiliar outros desenvolvedores web na produção de código seguro e organizado, e disponibiliza guias e dicas para os proprietários de sites a fim de maximizar a segurança do Drupal.
Não é necessário mencionar que uma parte de suas responsabilidades inclui analisar relatórios de vulnerabilidade e organizar a distribuição de correções.
Dicas eficazes para assegurar a segurança de um site feito em Drupal.
As pessoas responsáveis pelo desenvolvimento do Drupal estão colocando todos os esforços possíveis para garantir a segurança do sistema. Mesmo assim, isso não deve ser motivo para descuidar. Embora o Drupal seja uma ótima opção para criar um site seguro, é importante que você adote todas as medidas recomendadas de segurança para proteger o seu projeto.
Vamos analisar alguns deles.
Mantenha o núcleo e os módulos do Drupal sempre atualizados de forma regular.
Revisões periódicas são essenciais para aplicar correções em eventuais brechas de segurança identificadas no Drupal ou em seus módulos. Ao instalar a versão mais recente, você fecha a falha e garante a segurança do seu site. Se negligenciar essa atualização, a vulnerabilidade permanece ativa, aumentando o risco de ser alvo de um ataque virtual.
Dada a importância de instalar a última versão do núcleo do Drupal e de todos os seus módulos, a equipe de desenvolvimento incluiu uma funcionalidade no CMS que verifica e avisa o administrador do site sobre atualizações disponíveis.
Para garantir que você esteja sempre operando em alta velocidade, simplesmente faça login no seu painel de controle e acesse a seção de Relatórios > Atualizações disponíveis. Em seguida, você poderá visualizar uma lista na tela que se assemelha a esta:
Por meio da opção de atualização, é possível verificar manualmente as atualizações disponíveis. Além disso, ao acessar as configurações, é possível definir a periodicidade das verificações e o destino das notificações.
Sempre que houver uma nova versão disponível, ela será exibida neste menu. Para realizar a instalação, será necessário acessar a seção “Estender” e clicar na aba “Atualizar”. O Drupal oferece um assistente para auxiliar no download e instalação da atualização. Recomenda-se fazer um backup do site antes de iniciar o processo e ativar o modo de manutenção para evitar interrupções no serviço durante a aplicação das atualizações.
Criar e aplicar medidas de segurança para fortalecer as senhas.
Mais de 80% das violações de dados confirmadas ocorrem devido a senhas fracas, roubadas ou reutilizadas. A segurança da internet seria significativamente reforçada se as pessoas fossem mais cuidadosas com suas informações de login.
O que medidas você pode tomar para alterar essa situação?
O texto enfatiza a importância de cuidar dos próprios hábitos, especialmente ao escolher as credenciais de login do administrador do Drupal. Isso é crucial para evitar que terceiros comprometam o site e o utilizem para atividades maliciosas. É fundamental garantir a segurança das credenciais para proteger o site.
Certifique-se de que sua senha seja extensa, elaborada e exclusiva. Estudos demonstram que mais de 90% das pessoas reconhecem os riscos da reutilização de senhas, porém 60% ainda continuam a usar as mesmas credenciais em diferentes contas. Como administrador do site, é crucial adotar um padrão mais rigoroso de segurança de senha. Se ainda não o fez, é importante perceber que a melhor forma de proteger seus dados de login é através de um gerenciador de senhas.
Não se trata apenas das credenciais de administração, contudo. Os usuários podem criar contas em seu site Drupal por padrão. O CMS oferece funcionalidades de controle de acesso, que possibilitam a modificação de permissões de usuário e o monitoramento de suas atividades. Ao configurá-las adequadamente, ataques bem-sucedidos contra contas de usuários individuais não representarão mais uma ameaça à integridade do site como um todo.
Você deseja evitar essas vulnerabilidades desde o início. Contas comprometidas não contribuem para uma boa experiência do usuário, portanto é importante garantir aos visitantes que criem contas protegidas adequadamente.
Uma forma eficaz de realizar essa ação é estabelecendo restrições de senha. Ao criar uma conta em um site Drupal, é possível protegê-la com uma senha básica, como “123”. Embora a interface alerte sobre a fragilidade dessa senha, não há exigência imposta para que se escolha uma senha mais segura.
Por meio de módulos, é possível estabelecer regras de senha mais seguras e assegurar que os usuários sigam tais regras. Um exemplo prático disso é o aprimoramento da Política de Senhas.
Após instalar e ativar seus sub-módulos, ao acessar a seção de Configuração no painel de administração do Drupal, você terá um submenu dedicado à Política de Senha. Sua primeira tarefa é estabelecer uma nova política de senha, com a possibilidade de defini-la de forma personalizada para diferentes usuários. Basta selecionar um Nome de Política e determinar a periodicidade com que os membros deste grupo devem atualizar suas senhas.
Após criar a política de segurança, é possível personalizá-la incluindo as diretrizes específicas. Além de estabelecer limites mínimos para tamanho e tipo de caracteres, é viável criar uma relação de senhas proibidas, impedir a repetição de senhas antigas e desativar aquelas que correspondem ao nome de usuário.
Password Force é um complemento inovador que utiliza a Política de Senha como base. Em vez de se focar em requisitos como comprimento ou tipos de caracteres, ele analisa a complexidade de cada senha individualmente escolhida pelo usuário. É possível personalizá-lo para identificar e rejeitar palavras ou frases comuns que são consideradas inseguras, até mesmo sugerindo a substituição de letras por números em palavras comuns do dicionário, como por exemplo, substituir “senha” por “p4sw0rd”.
Password Force é definitivamente uma solução mais avançada, porém apresenta algumas questões.
Em primeiro lugar, ao escrever, é importante ressaltar que a versão beta do Drupal 8 está em uso, sendo essencial testá-la minuciosamente antes de implementá-la em ambiente de produção. Em segundo lugar, é necessário ter cautela para não estabelecer políticas excessivamente restritivas.
Ao determinar a complexidade das restrições de senha, leve em consideração fatores como a quantidade de dados armazenados em cada conta e as potenciais ramificações em caso de violação. É importante garantir a segurança dos usuários sem tornar o processo de cadastro excessivamente complicado.
Processo de Verificação do Site para Acesso.
As políticas de senha que você implementar terão dois impactos diferentes na segurança do seu site. Por um lado, dificultarão a adivinhação de senhas pelos hackers e a violação de contas de usuário, por outro lado, não os impedirão de tentar. No entanto, o Drupal oferece soluções que reduzem ainda mais as chances de sucesso dos hackers.
Por exemplo, o Flood Control atua como um mecanismo eficaz de defesa contra ataques de força bruta. Detecta múltiplas tentativas de login sem sucesso e impede o acesso à conta ou ao endereço IP responsável pelo ataque. Além disso, pode prevenir abusos no preenchimento de formulários de contato.
Endereços e contas que contenham conteúdo ofensivo são inseridos em uma lista de bloqueios que é simples de administrar.
A segunda vantagem das mudanças na política de senha é incentivar os usuários a valorizarem mais a segurança. Se eles optarem por isso, é provável que desejem adicionar uma medida adicional de proteção à sua senha robusta, como a autenticação de dois fatores.
A autenticação de dois fatores, também conhecida como 2FA, é um método de verificação que exige a combinação de algo que o usuário sabe (como nome de usuário e senha) com algo que o usuário possui (como um código temporário gerado em um dispositivo adicional) para acessar um sistema.
Mesmo que os invasores consigam obter sua senha, eles não conseguirão acessar sua conta, pois precisam acertar um segundo código em seu próprio dispositivo.
O Drupal não possui suporte nativo para essa funcionalidade, no entanto, é possível ativá-la utilizando o módulo de Autenticação de Dois Fatores (TFA). Esse complemento se integra ao processo de login do Drupal após o usuário inserir suas informações de acesso e o CMS as validar.
O sistema de autenticação de dois fatores verifica se a conta está protegida por 2FA. Se estiver, o usuário é temporariamente desconectado e redirecionado para a página que solicita o segundo fator de autenticação. Após inserir o código correto, o usuário obtém acesso.
O módulo TFA disponibiliza diversas alternativas para o segundo método de autenticação. É possível empregar um aplicativo como Google Authenticator, receber os códigos por mensagem de texto ou conectar-se a um serviço externo como Authy.
A sequência de ações necessárias para configurar tudo depende da configuração desejada. A primeira etapa consiste em criar uma chave e perfil de criptografia para proteger os dados usados no algoritmo 2FA.
As opções do módulo TFA podem ser encontradas na área de Pessoas da seção Configurações dentro do painel de administração do Drupal.
Garanta a segurança do seu espaço de hospedagem.
A responsabilidade da sua conta de hospedagem vai além de apenas disponibilizar os recursos de hardware para o seu site. É essencial proporcionar um ambiente confiável e seguro para o funcionamento adequado do seu projeto. Se isso não estiver sendo cumprido, todo o trabalho dedicado à proteção do seu site Drupal perderá sua relevância.
Como é difícil assegurar que a sua configuração está protegida?
Pode parecer um desafio que exige habilidades técnicas avançadas, porém, na realidade, se você tiver a hospedagem adequada, poderá realizar a tarefa de forma rápida e simples. Veja a seguir o que é necessário considerar:
- Autorizações de arquivo e pasta
As permissões padrão para arquivos e pastas são automaticamente definidas e normalmente são as seguintes numericamente:
644 é a permissão de arquivo na qual o dono pode ler e escrever no arquivo, enquanto outros usuários apenas podem ler.
755 é a permissão para pastas que possibilita ao dono do arquivo ler, escrever e executar itens dentro do diretório, ao passo que os demais usuários apenas podem ler e executar o código sem modificá-lo.
Essa configuração possibilita que um site comum opere sem estar vulnerável a ameaças imediatas. No entanto, no caso do Drupal, se um invasor conseguir acessar sua conta de administrador, teoricamente poderá assumir o controle total do servidor, caso suas permissões de arquivos e diretórios permaneçam inalteradas.
Modificar as permissões de pastas específicas no núcleo do Drupal pode resolver a questão. Embora seja possível fazer isso manualmente, é importante realizar uma pesquisa adequada para identificar os diretórios afetados precisamente.
Uma alternativa mais adequada seria utilizar um recurso automatizado desenvolvido especificamente para essa finalidade. Esse recurso pode ser encontrado no repositório oficial do Drupal, porém não se trata de um módulo em si. Em vez disso, consiste em um conjunto de comandos Drush (uma ferramenta de linha de comando para gerenciamento do Drupal) que executam a tarefa desejada para você.
Lembre-se de que se algo der errado, algumas funcionalidades do seu site podem deixar de funcionar. Por isso, é importante testar o complemento em um ambiente de teste antes de aplicar as alterações no site principal. Além disso, é recomendável fazer um backup do site como precaução.
- Uma certificação SSL.
Antigamente, era comum indicar certificados SSL somente para lojas online e websites famosos que guardavam dados sensíveis e de pagamento. Atualmente, é essencial que todos os sites, não importando seu conteúdo ou dimensão, tenham proteção por meio de uma conexão HTTPS. Existem três motivos importantes para isso.
Inicialmente, a ausência de um certificado SSL resultará em um alerta de página inteira nos navegadores atuais, informando que o site é inseguro, o que pode prejudicar a visibilidade e credibilidade do seu projeto. Isso pode assustar os visitantes e afetar negativamente o SEO do seu site.
Os navegadores estão cada vez mais rigorosos com os sites que não possuem certificados SSL devido ao aumento da frequência de ataques cibernéticos. Por exemplo, se você utiliza o Drupal para desenvolver um blog pessoal que permite aos usuários criar contas e comentar em suas postagens, pode ser negligente em relação à necessidade de protegê-lo com um certificado SSL, achando que não há muito a ser ganho pelos hackers ao atacarem seu site.
Entretanto, é importante considerar que durante os ataques Man-in-the-Middle (MiTM), os hackers têm a capacidade de capturar os dados que estão sendo transmitidos entre o seu servidor e, se não estiverem protegidos por criptografia, utilizá-los de forma maliciosa. Isso possibilita o roubo das credenciais de acesso dos usuários e, como a prática de reutilização de senhas é comum, os hackers podem assumir o controle de várias contas em diferentes aplicativos e serviços.
Uma razão importante para instalar um certificado SSL é a disponibilidade de diversas opções gratuitas atualmente. Antigamente, proteger um site com HTTPS era caro, custando centenas de dólares por ano e exigindo um IP dedicado, o que limitava o acesso a empresas online estabelecidas. No entanto, com a chegada da autoridade de certificação Let’s Encrypt, agora qualquer um pode proteger seu site com SSL sem custo algum. Portanto, não há motivo para não aproveitar essa oportunidade.
- Um plano sólido para realizar cópias de segurança e recuperar dados em situações de emergência.
É evidente que é fundamental possuir uma cópia de segurança do seu site. No entanto, muitas pessoas consideram isso como algo garantido e não compreendem verdadeiramente o que caracteriza uma cópia de segurança eficaz. Existem três elementos que devem ser levados em conta:
- Frequência em que são feitos backups.
Seu propósito é assegurar que, caso necessite restaurar seu site a partir de um arquivo, minimize a perda de dados. Para alcançar esse objetivo, é essencial possuir um backup atualizado.
Na maioria dos sites, um serviço que realiza backups diários é suficiente, porém, se o seu projeto gera dados de forma contínua, talvez seja necessário um sistema que faça cópias do site com maior frequência. Além disso, certos provedores garantem a retenção de backups por mais de um dia. Avalie as alternativas disponíveis e considere se essa funcionalidade pode ser benéfica para você.
- Confiança em algo ou alguém.
É importante garantir que seus backups estejam funcionando corretamente, verificando regularmente se possuem todas as informações do seu site.
- Guardar informações de forma organizada.
Muitas vezes, o armazenamento inadequado de backup é uma prática comum e frequente. Tanto os utilizadores como os fornecedores costumam cometer o engano de guardar os backups em servidores de produção ou em infraestruturas que podem ser suscetíveis a falhas de hardware.
De maneira ideal, é recomendado que os seus backups sejam mantidos em um data center separado do seu servidor principal de hospedagem. Assim, caso ocorra algum problema significativo com a instalação ou hardware do servidor principal, você poderá recuperar o seu site sem dificuldades.
ScalaHosting e Drupal trabalham juntos para oferecer uma plataforma de hospedagem eficiente e segura para sites construídos com Drupal.
Durante um período de tempo considerável, testemunhamos diversos clientes da ScalaHosting criarem sites utilizando o Drupal, alguns alcançando grande sucesso, enquanto outros não obtiveram os resultados desejados.
Essa experiência nos permite identificar o que é eficaz e o que não é, e aplicamos esse aprendizado para desenvolver e adaptar nossos planos de hospedagem Drupal. Todos os planos são criados considerando o CMS e são personalizados para atender às necessidades específicas do seu site.
Se você está com recursos limitados e tem um projeto pequeno, uma opção é iniciar com um dos nossos planos compartilhados. Por menos de $10 mensais, você pode adquirir um Launchpad de qualidade para o seu novo site. Todos os planos compartilhados oferecem acesso ao painel de controle cPanel e ao instalador automático Softaculous.
Isso quer dizer que é possível instalar o Drupal rapidamente com apenas alguns cliques e começar a trabalhar no seu projeto imediatamente. Se ele ficar muito grande para o ambiente compartilhado, você pode facilmente fazer um upgrade para uma das nossas soluções VPS.
Com esses servidores virtuais, você desfrutará de um ambiente isolado, recursos assegurados e um endereço IP exclusivo. Eles são implementados em uma nuvem robusta, o que garante alta velocidade de carregamento e excelente tempo de atividade. Além disso, todas as contas têm acesso ao Softaculous e oferecemos transferência gratuita de sites existentes.
Nossas soluções de hospedagem contam com a proteção da SShield, um sistema de segurança desenvolvido internamente que visa impedir a grande maioria dos ataques conhecidos antes que possam causar danos.
Podemos facilmente instalar a criptografia de certificados SSL em todos os planos utilizando as ferramentas disponíveis no cPanel e SPanel, o sistema de gerenciamento de servidor próprio.
Além disso, cada conta inclui backups diários como padrão, com a possibilidade de escolher entre armazená-los por três ou sete dias. Os backups são mantidos em um data center separado do servidor principal de hospedagem, o que facilita a recuperação quando necessário.
Se precisar de mais informações sobre serviços de hospedagem, sinta-se à vontade para entrar em contato com nossos profissionais de vendas.
Resultado final
Drupal é um renomado sistema de gestão de conteúdo globalmente reconhecido, embora não tenha a mesma popularidade que WordPress ou Joomla. A comunidade responsável pelo projeto assegura sua constante evolução para se adaptar às demandas dos sites atuais, que estão em constante mudança.
Esta comunidade oferece todos os recursos necessários para proteger seu site Drupal, desde que você saiba como utilizá-los.
Perguntas comuns
Como posso garantir a segurança do meu site Drupal?
Para manter seu site Drupal seguro, é necessário abordar diversos aspectos de sua operação. Isso engloba a aplicação de atualizações, aprimoramento na gestão de senhas, utilização de módulos de segurança Drupal e outras medidas. Embora não seja algo que possa ser feito rapidamente, com conhecimento e cuidado, é possível melhorar significativamente a segurança do seu projeto.
O Drupal oferece um ambiente seguro para os usuários?
Durante um período de tempo, a Drupal se tornou conhecida por sua forte segurança e eficientes mecanismos de proteção. Por ser open-source, as falhas de segurança podem ser identificadas e corrigidas com mais facilidade. A estrutura modular da Drupal possibilita a adição de diversas camadas de segurança, enquanto uma equipe especializada mantém o sistema seguro e atualizado.
Como posso fazer para instalar o Drupal em um servidor?
Paráfraseando o texto: O sistema Drupal pode ser facilmente instalado em servidores de hospedagem web comuns, necessitando apenas de um banco de dados que pode ser criado através das ferramentas disponibilizadas pelo provedor. Além disso, o Drupal conta com um assistente de instalação prático para auxiliar na configuração, e se o seu serviço de hospedagem incluir o instalador automático Softaculous, usá-lo será a opção mais conveniente.