CÓMO LIMPIAR UN SITIO WEB DRUPAL HACKEADO

Arregla el hack y protege tu sitio web Drupal.

Sucuri está comprometido a ayudar a los administradores de servidores a verificar sus sitios web en busca de actos de piratería y a eliminar las infecciones de malware. Creamos esta guía para que los usuarios de Drupal puedan identificar y arreglar los hacks en sus sitios. Esto no está destinado a ser una guía completa, pero cubre las infecciones más comunes que encontramos.

Managua • Nicaragua • Hogar de
Salvador - Analista de Seguridad, Pilar - Especialista de Adquisiciones Pagadas

Paso 1

IDENTIFICAR EL HACK

Antes que comiences, es recomendable que crees una copia de seguridad de todo tu sitio para un análisis forense del hack si se requiere. Esto es especialmente importante para los sitios web e industrias grandes, donde los detalles legales o las infracciones de cumplimiento de HIPAA y PCI pueden ser una preocupación.

Como un paso opcional, puedes anotar los pasos que tomas para identificar, remediar y proteger tu sitio web Drupal. Esto puede ser útil si vuelves a tener problemas similares, o para poder hacer seguimiento con otras personas involucradas en tu proyecto.

Como está descrito en la guía oficial de Drupal para los sitios web hackeados, tienes que decidir entre investigar y arreglar el hack, revertir, o reconstruir tu sitio. Esta guía se centra en cómo limpiar la infección de manera manual. Si necesitas ayuda, ofrecemos planes asequibles para limpiar y proteger tu sitio web Drupal todo el año.

Indicadores Comunes de Sitios Web Drupal Hackeados

  • Palabras clave de spam en los nodos y en el contenido de los motores de búsqueda
  • Nuevos nodos de un usuario no autorizado
  • Modificaciones a archivos o problemas de integridad en archivos núcleo de Drupal
  • Archivos desconocidos en sites/default/files
  • Alertas de seguridad en Google, Bing, McAfee, etc.
  • Comportamiento inesperado, lento o anormal en el sitio web
  • El host suspendió tu sitio web por actividad maliciosa
  • Nuevos usuarios maliciosos en el panel de Drupal

1.1 Escanea tu Sitio Web

Puedes utilizar herramientas que exploren tu sitio de manera remota para encontrar cargas maliciosas y obtener la ubicación del malware. Estas instrucciones son para nuestro escáner remoto y gratuito, SiteCheck. Otros escáneres en línea y extensiones de Drupal también te pueden ayudar a buscar indicadores de compromiso, cargas maliciosas y otros problemas de seguridad. Las herramientas para comprobar errores en la configuración de seguridad en Drupal también pueden ayudarte a identificar posibles vectores de ataque.

Para escanear Drupal en busca de hacks:

  1. Visita SiteCheck y escribe la URL de tu sitio web.
  2. Haz clic en Scan Website.

  3. Si el sitio está infectado, lee el mensaje de la advertencia.

  4. Presta atención a las cargas maliciosas, ubicaciones (si están disponibles) y advertencias de listas negras.

Si tienes múltiples sitios web en el mismo servidor, te recomendamos escanearlos todos. La contaminación entre sitios es una de las causas más comunes de reinfección. Recomendamos a cada propietario de sitios web a aislar su alojamiento y cuentas web. Por favor, mira la Documentación de Drupal Multi-sitios para obtener mayor información.

Módulos de Drupal para escanear tu sitio:

  • Hacked!: Escanea tu software Drupal y lo compara con copias buenas (Drush UI disponible).
  • Site Audit: Detecta problemas comunes en Drupal, incluyendo problemas de seguridad.
  • Security Review: Evalúa tu sitio contra una lista de problemas de seguridad comunes.

Otras herramientas para escanear tu sitio web:

Nota

Es escáner remoto nada más verificará el sitio de manera externa, usando diferentes agentes de usuarios, pero algunos problemas no se presentan a sí mismos en el navegador web. Las infecciones escondidas (Ej. puertas traseras, páginas de phishing, y ejecutables escondidos) pueden ser encontradas usando un escáner del lado del servidor. Aprende más sobre cómo funcionan los escaneres remotos.

1.2 Verifica Archivos Modificados

Archivos Drupal nuevos y recientemente modificados pueden ser parte del hack. Tu núcleo, contribuciones y módulos personalizados deberían ser verificados contra copias buenas para identificar inyecciones de malware.

Nota

Recomendamos encarecidamente usar FTPS/SFTP/SSH en vez de FTP sin encriptación.

La manera más rápida para confirmar la integridad de tus archivos Drupal es haciendo un git status (u otro sistema de control de versión) para verificar por cambios, commit nuevas branches y luego revertir a la última versión de código íntegro.

Utilizando git para buscar cambios:

  1. Conéctate a tu servidor a través de SSH y corre el siguiente comando: git status

  2. Identifica archivos nuevos y modificados.

  3. Navega a través de tus directorios y nota cualquier cosa rara.

También puedes utilizar el módulo Hacked! para Drupal, para obtener un reporte de los problemas de integridad con los archivos núcleo o de otros módulos.

Precaución

Es importante que compares tus archivos núcleo con la misma versión de Drupal y la misma versión de las extensiones que usas. Los archivos núcleo en la rama 8.x de Drupal, no son los mismos que en la rama 7.x, etc.

Otra opción es utilizar el comando diff en la terminal para comparar tus archivos actuales con archivos buenos conocidos. Puedes encontrar todas las versiones de Drupal en GitHub. Puedes descargar una copia de Drupal a tu computadora utilizando una terminal SSH. El siguiente comando utiliza la versión 8.3.5 como un ejemplo de los archivos limpios y public_html como un ejemplo de donde está ubicada tu instalación de Drupal. El comando diff final comparará los archivos Drupal limpios con los archivos de tu instalación.

To check core file integrity with SSH commands:

  • $ mkdir drupal-8.3.5
  • $ cd drupal-8.3.5
  • $ wget https://github.com/drupal/core/archive/8.3.5.tar.gz
  • $ tar -zxvf core-8.3.5.tar.gz
  • $ diff -r core-8.3.5 ./public_html

Para verificar los archivos modificados recientemente de manera manual:

  1. Inicia sesión en tu servidor usando un cliente FTP o una terminal SSH.

  2. Si estás usando SSH, puedes listar todos los archivos modificados en los últimos 15 días usando este comando: $ find ./ -type f -mtime -15

  3. Si estás usando SFTP, revisa la columna con la fecha de la última modificación para todos los archivos en el servidor.

  4. Toma nota de todos los archivos que han sido modificados recientemente.

Modificaciones desconocidas en los últimos 7-30 días pueden ser sospechas y requieren más investigación.

1.3 Auditar Registros de Usuarios

Verifica las cuentas de usuario desconocidas de Drupal, especialmente las cuentas con privilegios de administración.

Para buscar cuentas de usuarios maliciosas en Drupal:

  1. Inicia sesión en tu interfaz de administración Drupal (tusitio.com/user/login)

  2. Haz clic en el menú Gente

  3. Revisa la lista, especialmente las más recientes bajo la columna Miembros desde.

  4. Elimina cualquier usuario desconocido, creado por hackers.

  5. Verifica la columna Tiempo de Último Acceso de los usuarios legítimos (puede indicar cuentas comprometidas).

  6. Verifica si hay usuarios que iniciaron sesión en tiempos sospechosos.

Nota

Espera cambiar la contraseña de los usuarios hasta que hayas limpiado el sitio de malware de manera completa. Esto garantizará que los hackers pierdan el acceso a todas las cuentas. También puedes utilizar un módulo como Mass Password Reset para forzar a todos los usuarios a restablecer sus contraseñas.

Si sabes cómo obtener las peticiones para el área /user/login puedes analizar los registros del servidor. Cualquier usuario de Drupal que iniciara sesión en un tiempo y fecha sospechoso, o en una ubicación geográfica sospechosa, puede estar comprometido.

1.4 Verifica las Páginas de Diagnóstico

Si tu sitio Drupal ha sido colocado en la lista negra por Google u otra autoridad en seguridad de sitios web, puedes utilizar sus herramientas de diagnóstico para verificar el estado de seguridad de tu sitio web.

Para obtener más información sobre estas advertencias de seguridad, puedes leer nuestra guía explicando qué es la lista negra de Google.

Para verificar el Reporte de Transparencia de Google:

  1. Visita el sitio web Safe Browsing Site Status.

  2. Ingresa la URL de tu sitio web y verifica.

  3. En esta página tienes la opción de verificar:

    • Detalles de Seguridad del Sitio (información sobre redirecciones, spam y descargas maliciosas).
    • Detalles de Prueba (los escaneos de Google más recientes que encontraron malware).

Si has agregado tu sitio a cualquier herramienta gratuita para webmasters, puedes revisar los reportes y puntuaciones de seguridad para tu sitio web. Si aún no tienes cuentas con estas herramientas de monitoreo, te recomendamos encarecidamente que te suscribas:

Paso 2

Arreglar el HACK

Ahora que has identificado usuarios potencialmente comprometidos y la ubicación del malware, puedes eliminarlos de Drupal y restaurar tu sitio web a un estado limpio.

Consejo Profesional:

La mejor manera de identificar archivos hackeados es comparando el estado actual del sitio con una vieja y limpia copia de seguridad. Si una copia de seguridad está disponible, puedes usarla para comparar las dos versiones e identificar lo que ha sido modificado.

Nota

Algunos de estos pasos requieren acceso al servidor y a la base de datos. Si no estás acostumbrado a manipular las tablas de la base de datos o a editar archivos PHP, por favor busca la ayuda de un Equipo de Respuesta a Incidentes Profesional, quienes podrán eliminar el malware de Drupal de manera completa.

2.1 Limpiar los Archivos del Sitio Web Hackeados

Si algún escaneo o página de diagnóstico revela dominios o cargas maliciosas, puedes iniciar por verificar esos archivos en tu servidor web Drupal.

Si utilizas un sistema de control de versiones como git, puedes revertir a una versión buena de tu sitio, eliminar archivos sospechosos, y también hacer un checkout para revertir nada más los archivos modificados y sospechosos.

Al comparar archivos infectados con sus versiones buenas (de fuentes oficiales o copias de seguridad limpias y confiables) puedes identificar y eliminar cambios maliciosos.

Precaución

Es importante que compares tus archivos núcleo con la misma versión de Drupal y la misma versión de las extensiones que usas. Los archivos núcleo en la rama 8.x de Drupal, no son los mismos que en la rama 7.x, etc.

Nunca realices ninguna acción sin una copia de seguridad. Si necesitas ayuda con esto, revisa la Documentación Oficial de Drupal para Copias de Seguridad, o puedes echarle un vistazo a herramientas gratuitas para Drupal como Backup and Migrate y Node Squirrel.

Pasos para remover una infección de malware en Drupal de manera manual:

  1. Inicia sesión en tu servidor a través de SFTP o SSH.

  2. Crea una copia de seguridad de tus archivos, antes que realices cambios.

  3. Busca en tus archivos las referencias a dominios o cargas maliciosas que anotaste.

  4. Identificar archivos recientemente modificados y confirmar su legitimidad.

  5. Verifica los archivos marcados durante la verificación de integridad.

  6. Restaura o compara los archivos sospechosos con copias de seguridad limpias o fuentes oficiales.

  7. Elimina todo código sospechoso o desconocido de tus archivos personalizados.

  8. Comprueba que tu sitio web esté operacional después de estos cambios.

Si no puedes encontrar el contenido malicioso, trata buscando en la web el contenido, la carga y dominios maliciosos que encontraste en el primer paso. Existe la posibilidad de que alguien pasara por lo mismo y descubriera la conexión con estos nombres de dominio y el hack que estás tratando de limpiar.

Los directorios de Drupal más comunes donde encontramos infecciones de malware:

  • ./sites/all/modules/panels/help/
  • ./sites/all/themes/
  • ./profiles

Otras herramientas para escanear tu sitio web:

2.2 Limpia las Tablas Hackeadas de la Base de Datos

Para remover la infección de malware de tu base de datos Drupal, tienes que abrir un panel de administración, como por ejemplo PHPMyAdmin. También puedes usar herramientas como Search-Replace-DB o Adminer.

Pasos para remover la infección de malware de las tablas de la base de datos de Drupal:

  1. Inicia sesión en el panel de administración de tu base de datos.

  2. Crea una copia de seguridad de la base de datos antes de realizar cambios.

  3. Busca por contenido malicioso (ejemplo, palabras clave y contenido spam).

  4. Abre la table que contiene el contenido malicioso.

  5. Remueve de forma manual cualquier contenido sospechoso.

  6. Comprueba que tu sitio web esté operacional después de estos cambios.

  7. Elimina cualquier herramienta para acceder a la base de datos que hayas subido.

Puedes buscar de manera manual las funciones PHP comúnmente usadas para fines maliciosos, como por ejemplo eval, base64_decode, gzinflate, preg_replace, str_replace, etc. Ten en cuenta que estas funciones también son usadas por extensiones para Drupal por razones legítimas, así que asegúrate de probar tus cambios o de obtener ayuda profesional de modo que no dañes tu sitio accidentalmente.

Drupal database hack example
Haz Clic para Ver

Precaución

Eliminar manualmente el código "malicioso" de los archivos de tu sitio web puede poner en peligro su correcto funcionamiento. Nunca realices acciones de este tipo sin una copia de seguridad, si no estás seguro, por favor consigue ayuda de un profesional.

Las tablas infectadas más comunes que nos encontramos:

  • field_data_body
  • field_revision_body
  • cache_field

2.3 Eliminar Puertas Traseras Ocultas

Los hackers siempre dejan una manera de volver a tu sitio web. Muy frecuentemente, encontramos múltiples puertas traseras de diferentes tipos en los sitios web Drupal hackeados.

Las puertas traseras generalmente están incrustadas en archivos que son nombrados con la misma convención que los archivos legítimos dentro del framework de Drupal, pero ubicados en los directorios equivocados. Los atacantes también inyectan puertas traseras en los archivos como index.php y directorios como /modules, /themes, /sites/all/modules, y /sites/all/themes.

Las puertas traseras generalmente incluyen las siguientes funciones PHP:

  • base64
  • str_rot13
  • gzuncompress
  • gzinflate
  • eval
  • exec
  • create_function
  • location.href
  • curl_exec
  • stream
  • system
  • assert
  • stripslashes
  • preg_replace (with /e/)
  • move_uploaded_file
  • strrev
  • file_get_contents
  • encodeuri
  • wget

Precaución

Ten en cuenta que estas funciones también son usadas por extensiones para Drupal por razones legítimas, así que asegúrate de probar tus cambios o de obtener ayuda profesional de modo que no dañes tu sitio accidentalmente al eliminar funciones benignas.

Siempre recuerda comparar los archivos usando la misma versión de Drupal.

Pasos para eliminar las puertas traseras comparando archivos:

  1. Confirma la versión de Drupal funcionando en tu sitio haciendo clic en el menú Sistema, y abriendo Información del Sistema.

  2. Descarga la misma versión de los archivos núcleo del repositorio oficial de Drupal.

  3. Inicia sesión en tu servidor a través de SFTP o SSH.

  4. Crea una copia de seguridad de tus archivos antes de realizar cambios.

  5. En tu cliente FTP, compara tus archivos con los archivos conocidos y limpios.

  6. Investiga cualquier archivo nuevo en tu servidor, que no coincida con la copia limpia que descargaste.

  7. Investiga cualquier archivo que no tenga el mismo tamaño que los archivos limpios que descargaste.

  8. Si utilizas algún tipo de control de versión, registra un commit y envía tu código con un push.

Drupal file system
Drupal 8 - Haz Clic para Ver

La mayoría del código malicioso que observamos utiliza algún tipo de codificación para evitar la detección. Dejando aparte los componentes premium que utilizan codificación para proteger sus mecanismos de autenticación, es muy raro ver código codificado en el repositorio oficial de Drupal.

Para poder limpiar Drupal de manera satisfactoria, es necesario cerrar todas las puertas traseras, de otra manera, tu sitio será reinfectado rápidamente.

2.4 Arregla las Advertencias de Malware

Si tu sitio web fue colocado en la lista negra por Google, McAfee, Yandex (o cualquier otra autoridad en el tema sobre spam en la web), puedes enviar una petición de revisión después de que elimines el hack. Google está limitando a los reincidentes conocidos a solamente una solicitud de revisión cada 30 días. Asegúrate de que tu sitio esté limpio antes de solicitar una petición de revisión.

Para mayores detalles sobre cómo eliminar las advertencias de seguridad de sitios web, lee nuestra guía explicando cómo eliminar la lista negra de Google.

Pasos para eliminar las advertencias de malware en tu sitio web:

  1. Llama a tu compañía de alojamiento y pideles que eliminen la suspensión.

    • Puede que tengas que proveer detalles sobre cómo eliminaste el malware.
  2. Llena una solicitud de revisión para cada autoridad en listas negras.

    • Ej, Google Search Console, McAfee SiteAdvisor, Yandex Webmaster.
  3. El proceso de revisión puede tomar varios días.

Nota

Con la Plataforma Sucuri, enviamos solicitudes de revisión de listas negras en tu nombre. Esto te ayuda a garantizar que tu sitio esté completamente listo para una revisión. Sin embargo, algunas revisiones, como las relacionadas con hacks de spam web debido a acciones manuales, pueden tomar hasta dos semanas.

Regresar al Inicio

Paso 3

DESPUÉS DEL HACK

En este paso, aprenderás a solucionar los problemas que causaron el hack en Drupal en primer lugar. También realizarás los pasos esenciales para mejorar la seguridad de tu sitio web.

3.1 Actualiza y Reinicia

El software desactualizado es una de las principales causas de infección, y es importante eliminar cualquier extensión vulnerable. Y aunque Drupal utiliza un algoritmo seguro para aplicar hash a las contraseñas y evitar que sean hackeadas, siempre es una buena idea restablecer las contraseñas para asegurarte de que tu sitio no se reinfecte en el caso que los hackers lograran ganar acceso a tus credenciales.

Limpia las Sesiones Activas

Si una cuenta de usuario ha sido comprometida, es importante que la desconectes y restablezcas la contraseña, de modo que pierdan acceso a tu sitio. La tabla sessions de la base de datos de Drupal guarda registros de cada usuario y sus ingresos, puedes eliminarlos desde ahí.

Pasos para limpiar sesiones de usuarios activos:

  1. Inicia sesión en el panel de administración de tu base de datos.

  2. Abre la tabla sessions.

  3. Selecciona Vaciar para eliminar todos los registros de la tabla.

  4. Ahora todas las sesiones están cerradas.

Reincia las llaves del API

Las llaves del API de Drupal deben ser reiniciadas para asegurarte que no estén comprometidas por los atacantes. Adicionalmente, si tu sitio web se conecta a servicios externos (como por ejemplo, a servicios de marketing, canales de pago, y proveedores de servicios de envíos) es una buena recomendación crear llaves nuevas para el API de estos servicios.

Recomendamos usar el módulo Key junto con Lockr, para asegurar de que las llaves sean manejadas fuera del sitio.

Actualiza el Núcleo de Drupal y las Extensiones

Actualiza todo el software de Drupal, incluyendo los archivos del núcleo, temas y módulos.

Pasos para verificar y actualizar las extensiones de Drupal:

  1. Asegúrate de tener una copia de seguridad reciente de tu sitio web.

  2. Inicia sesión en la interfaz de administración de Drupal.

  3. Haz clic en el elemento Reportes del menú y verifica las actualizaciones disponibles.

  4. Nota cualquier actualización disponible y verifica cualquier instrucción de actualización específica para cada módulo.

Para actualizar el software de Drupal, recomendamos usar Drush:

  1. Inicia sesión en tu sitio web utilizando una terminal SSH y corre el siguiente comando: drush up

  2. Sigue las instrucciones de la interfaz para seleccionar núcleo y módulos a actualizar.

  3. Comprueba tu sitio web para asegurar que la actualización no rompió ninguna funcionalidad.

  4. Si estás usando un sistema de control de versiones, haz un commit y haz un push del código.

Drupal 8.x es donde todos los nuevos desarrollos en el núcleo están pasando. Drupal 7.x todavía continúa recibiendo actualizaciones para vulnerabilidades conocidas. Te recomendamos mantener un ojo en la página de Drupal para Alertas de Seguridad. Los usuarios en la rama 6.x o inferior ya no están recibiendo parches de seguridad, y son fuertemente alentados a actualizar a 8.x siguiendo la Documentación Oficial de Drupal.

Si SiteCheck identificó más software desactualizado en tu servidor (como por ejemplo, Apache, cPanel, PHP) en el primer paso de esta guía, deberías actualizar estos para garantizar que tienes todos los parches de seguridad disponibles.

Si no puedes aplicar parches, considera activar un firewall para aplicaciones web para poder parchear tu sitio web de manera virtual.

Si estás actualizando los archivos núcleo de manera manual, sigue la documentación de actualización oficial para Drupal 8 y Drupal 7.

Pasos para actualizar archivos núcleo de Drupal manualmente:

  1. Asegúrate de tener una copia de seguridad reciente de tu sitio web.

  2. Haz clic en Configuración en el menú bajo Desarrollo y selecciona la opción Modo de Mantenimiento.

  3. Elimina todo excepto por los folders sites y archivos personalizados.

  4. Sube los nuevos archivos de Drupal, teniendo cuidado de no sobrescribir los archivos personalizados.

  5. Corre el archivo update.php en tu navegador.

  6. Quita el Modo de Mantenimiento y prueba tu sitio web.

Precaución

¡Ten cuidado de no sobrescribir el archivo settings.php (en /sites/default) ya que esto romperá tu sitio!

Limpia el Caché

Una vez que estás seguro de que todo ha sido limpiado y actualizado, como con toda actualización, tienes que limpiar la caché de Drupal para que la última versión de tu sitio esté visible para todo mundo. Recomendamos utilizar los comandos de Drush, drush cache-rebuild (Drupal 8), o drush cache-clear all (Drupal 7).

Para borrar manualmente la caché de Drupal:

  1. Inicia sesión en tu sitio web Drupal.

  2. En el menú, haz clic en Configuración

  3. Bajo Desarrollo, haz clic en Rendimiento.

  4. Haz clic en el botón Limpiar todas las cachés.

Reinicia las Credenciales de los Usuarios

Debes reemplazar todas las contraseñas, con contraseñas únicas y fuertes, para evitar la reinfección.

Pasos para reiniciar las contraseñas de las cuentas de usuario en Drupal:

  1. Inicia sesión en el área de administración de Drupal.

  2. Haz clic en el menú Gente.

  3. Haz clic en el botón Editar bajo la columna Operaciones para cada usuario.

  4. Cambia la contraseña del usuario.

  5. Repite esto para cada usuario en tu sitio web.

Debes reducir el número de cuentas administradoras y super-administradoras para Drupal, y en todos tus sitios web. Práctica el concepto del mínimo privilegio. Nada más dale a las personas el acceso que necesitan para realizar su trabajo.

Ten en cuenta que el usuario creado por Drupal durante la instalación (Usuario 1) es el más poderoso en el sistema. Tiene permisos por encima incluso de los administradores. Debido a esto, no debe ser usado con frecuencia. En lugar de esto, cada administrador debe tener su propia cuenta para que puedas limitar los permisos.

Nota

Todas las cuentas deben usar contraseñas fuertes - complejas, largas y únicas. Recomendamos usar un gestor y generador de contraseñas para simplificar el proceso.

3.2 Crea Copias de Seguridad

Las copias de seguridad son una red de seguridad. Ahora que tu sitio web Drupal está limpio y has tomado pasos importantes después del hack, ¡crea una copia de respaldo! Tener una buena estrategia de creación de copias de seguridad está en el núcleo de una buena postura de seguridad. Para más información, lee la Documentación Ofical de Drupal sobre Copias de Seguridad. También hay herramientas gratuitas para Drupal que te ayudarán a crear copias de seguridad, como por ejemplo Node Squirrel.

Aquí hay unos consejos para ayudarte con las copias de seguridad de tu sitio web:

  • Ubicación

    Guarda las copias de seguridad de Drupal fuera del sitio. Nunca guardes las copias de seguridad (o versiones antiguas) en tu servidor, estas pueden ser hackeadas y usadas para comprometer tu sitio real.

  • Automáticas

    Idealmente tu solución de copias de seguridad debe correr automáticamente, en la frecuencia que se adapte a las necesidades de tu sitio web.

  • Redundancia

    Guarda tus copias de seguridad en múltiples ubicaciones (almacenamiento en la nube, en tu computadora, en discos duros externos).

  • Pruebas

    Prueba el proceso de restauración para confirmar que tu sitio web funciona correctamente.

  • Tipos de Archivos

    Algunas soluciones de copias de seguridad excluyen ciertos tipos de archivos, videos, por ejemplo.

Nota:

Si ya eres un cliente de Sucuri, te ofrecemos un sistema de copias de seguridad asequible, para poder asegurar los respaldos de tu sitio web.

3.3 Escanea tu Computadora

Haz que todos los usuarios de Drupal ejecuten un escaneo en sus sistemas operativos con un programa antivirus de buena reputación.

Drupal puede ser comprometido si un usuario con una computadora infectada tiene acceso al panel de administración. Algunas infecciones están diseñadas para saltar desde la computadora hasta editores de texto o clientes FTP.

Aquí hay algunos programas antivirus que recomendamos:

Nota

Para evitar conflictos, debes tener solamente un antivirus protegiendo de manera activa tu sistema operativo. Si las computadoras de los usuarios del Panel de Drupal no están limpias, tu sitio puede reinfectarse fácilmente.

3.4 Protege tu Sitio

Puedes endurecer tu sitio web Drupal al restringir los permisos de archivos e implementar reglas personalizadas para .htaccess y nginx.conf. Recomendamos revisar la Documentación Oficial de Drupal sobre Seguridad para aprender más.

Hay un número de módulos y herramientas que te pueden ayudar a proteger tu sitio web Drupal y prevenir futuros ataques. Algunos son gratuitos y pueden facilitarte la gestión de aspectos específicos de la seguridad de tu sitio. Un buen plan de seguridad de sitios web incluye protección, monitoreo y respuesta.

Módulos de seguridad recomendados para Drupal:

  • Security Review: Comprueba tu sitio web usando una lista de problemas de seguridad conocidos.
  • Paranoia: Previene la ejecución de código PHP en ciertas áreas e impide la concesión de permisos riesgos.
  • Password Policy: Define una política de contraseñas para tus usuarios y fortalece los requerimientos.
  • TFA: Agrega otra capa a la seguridad por medio de la habilitación de autenticación de dos factores.
  • HoneyPot: Protege tus áreas de inicio de sesión y formularios web de ser abusados por bots maliciosos.
  • Automated Logout: Cierra la sesión para tus usuarios de manera automática luego de cierto tiempo de inactividad.
  • Login Security: Limita los intentos de inicio de sesión y el acceso a la lista blanca a nada más las direcciones IP permitidas.
  • Spam Span: Ofusca las direcciones de correo electrónico para impedir que los spammers las abusen.
  • Encrypt: Permite la comunicación cifrada permitiendo a los módulos mantener los datos protegidos.
  • Real AES: Un plugin de método de cifrado autenticado para el módulo Encrypt.
  • Key: Un módulo que le permite a otros módulos encriptar, filtrar y validar información.
  • Lockr: Almacenamiento seguro y fuera del sitio, así como la gestión y encriptación de las llaves de API.
  • Site Audit: Detecta problemas comunes en Drupal, incluyendo problemas de seguridad.
  • Permissions Lock: Permite ajustar los roles de usuario y la capacidad de conceder permisos.
  • Secure Permissions: Fuerza la administración de permisos a través de código, en lugar de con la interfaz de usuario.
  • Mass Password Reset: Permite restablecer las contraseñas de los usuarios en el caso que se pierdan o sean robadas.
  • Guardr: Distribuye los módulos y los ajustes para seguridad empresarial.

Drupal es un CMS complejo y muy extensible, y las vulnerabilidades de software son difíciles de predecir. Tratar de mantenerse al día con los parches de seguridad es un reto para los administradores. Un Firewall para Aplicaciones Web provee un perímetro de defensa alrededor de tu sitio web y bloquea peticiones maliciosas. Tratar de mantenerse al día es un reto para los administradores.

Beneficios de usar un firewall para sitios web:

  1. Previene Ataques Futuros

    Al detectar y detener los métodos y comportamientos de hacking más conocidos, un firewall de sitios web mantiene tu sitio protegido de infecciones, Incluyendo las vulnerabilidades del Top 10 de OWASP.

  2. Actualización de Seguridad Virtual

    Las vulnerabilidades conocidas son constantemente explotadas, y nuevos ataques de día cero están emergiendo todo el tiempo. Un buen firewall de sitios web parchea de forma virtual y endurece los agujeros en el software de tu sitio web, incluso si no puedes aplicar los parches de seguridad a tiempo.

  3. Bloquea Ataques de Fuerza Bruta

    Un firewall de sitios web debe impedir que cualquiera acceda a la interfaz de administración de Drupal si no tiene permitido estar allí, asegurándose de que no puedan usar automatización y lanzar ataques de fuerza bruta para adivinar tus contraseñas.

  4. Mitigar Ataques DDoS

    Los ataques de Denegación de Servicios Distribuido (DDoS) intentan sobrecargar tu servidor o los recursos de tu aplicación web. Mediante la detección y el bloqueo de todos los tipos de ataques DDoS, un firewall de sitios web garantiza disponibilidad y tiempo de actividad.

  5. Optimización del Rendimiento

    La mayoría de WAF ofrecerán almacenamiento en caché a través de un CDN para optimizar la velocidad de carga de las páginas a nivel global. Esto mantiene a tus visitantes felices, y se ha comprobado que reduce las tasas de rebote, mientras mejora la interacción, las conversiones y los rankings del sitio web en los motores de búsqueda.

Si necesitas ayuda para proteger tu sitio web, estamos disponibles para hablar contigo sobre los beneficios de usar un firewall para aplicaciones web.

Luego de realizar estos pasos para asegurar tu sitio web Drupal contra ataques futuros, asegúrate de guardar un registro de los pasos que utilizaste para identificar y mitigar los problemas que encontraste.

Por favor comparte esta guía si la encontraste útil, y ayúdanos a promover la educación sobre seguridad de sitios web a otros webmasters. Déjanos saber si tienes sugerencias para mejorar esta guía en el futuro.

Regresar al Inicio

Contáctanos