- La Guía CCN-STIC 461 puede descargarse de su portal www.ccn-cert.cni.es
- El documento recoge las principales prácticas a adoptar para trabajar de forma segura con este CMS (Content Management System) libre, utilizado principalmente en el desarrollo y gestión de páginas web.
- Histórico de vulnerabilidades, instalación y actualización de Drupal, seguridad en la base de datos, configuración segura de PHP y permisos, restricciones de acceso, instalación de módulos y la creación y recuperación de copias de seguridad son algunos de los capítulos de esta Guía CCN-STIC.
El CCN-CERT ha hecho pública la Guía CCN-STIC 461 Seguridad en Drupal que aborda un compendio de buenas prácticas para mantener este CMS de un modo seguro y mitigar los posibles ataques de fuentes externas que puedan tener.
El documento, que puede descargarse de la parte pública del portal del CCN-CERT, expone que se han reportado un total de 290 vulnerabilidades en el período de tiempo comprendido entre 2002 y 2015; y destaca que el 46% de las vulnerabilidades públicas conocidas corresponden a XSS (Cross-Site Scripting).
El documento incluye los siguientes capítulos:
- Introducción
- Instalación y actualización
- Seguridad en la base de datos
- Configuración segura de PHP
- Configuración de permisos
- Creación de un fichero “Robots.txt”
- Restricciones de acceso
- Asegurando el entorno y el usuario #1
- Configuración segura de Input Formats
- Administración y navegación sobre SSL
- Administrar Drupal por línea de comandos
- Guía para la instalación de módulos
- Sistema de prueba de módulos y temas
- Módulos a instalar
- Creación y recuperación de backups
- Recuperación ante un compromiso de seguridad
Comunicado CCN-CERT (24-06-2016)