Aunque Drupal incorpora de serie múltiples medidas para garantizar la seguridad, nunca está de más revisar si tienes algún "agujero" abierto. Al final los desarrollos los hacemos personas y las personas cometen errores así que más vale prevenir que curar.
Para ayudarte en esta tarea de detectar posibles errores de configuración o de desarrollo, existe el módulo security review desarrollado y mantenido por la propia Acquia (la empresa del creador de Drupal Dries Buytaert).
Este módulo realiza una serie de validaciones y te avisa de aquello que pueda ser un problema de seguridad. Entre otras validaciones se encarga de :
- Revisar los permisos del sistema de ficheros
- Revisar los formatos de entrada para detectar potenciales vulnerabilidades.
- Configuración de los mensajes de error
- Ficheros privados
- Extensiones de subida de ficheros permitidas
- Errores con la base de datos
- Intentos fraudulentos de login
- Permisos del administrador
Y varios otros chequeos que es fácil que se te pasen si haces tú la validación de forma manual.
Conviene dejar claro que el módulo no hace que tu portal sea más seguro, únicamente te avisa de los posibles errores que él pueda detectar, pero será responsabilidad nuestra atacar y resolver dichos errores.
