Drupal security best practices 2026: hardening, audit și module enterprise

Drupal este unul dintre cele mai securizate CMS-uri open-source din lume — Security Team-ul publică patch-uri în ferestre predictibile (Wednesday Security Releases), advisory-uri detaliate per CVE, iar Drupal Steward oferă protecție WAF proactivă pentru vulnerabilități critice. Pe orizontul 5 ani, Drupal are de ~10× mai puține breach-uri decât WordPress (sursa principală: pluginuri WordPress = 90%+ din vectori de atac WP). Dar securitatea nu e automată — depinde de configurare corectă, module obligatorii, hardening server-side și audit periodic. Acest ghid acoperă best practices security 2026 pentru Drupal, modulele indispensabile, checklist-ul de audit cu 47 de puncte, și cum răspunzi la un CVE critic în 24-72h.

💼 Vrei un audit security al site-ului Drupal sau implementare hardening complet? Echipa Digital Rocket oferă audit security cu 47 de puncte de verificare + plan de remediere cu prioritizare risk-based. Vezi serviciile noastre de web development cu specializare Drupal — security incluse în orice proiect enterprise.

De ce Drupal e mai securizat decât WordPress în 2026?

Diferențele structurale care fac Drupal superior pe security:

1. Process security mature

Drupal Security Team:

• Format: 30+ membri voluntari + paid contributors (Acquia, Tag1)
• Wednesday Security Window: patch-uri publicate într-o fereastră predictibilă lunară (a treia miercuri)
• Emergency releases (out-of-cycle): pentru CVE-uri critice cu CVSS ≥ 9.0
• Advisory format: CVE-ID, CVSS score, affected versions, mitigation steps

WordPress Security:

• Procesul depinde de Automattic + community
• Nu există fereastră predictibilă pentru security releases
• Advisory-uri mai puțin detaliate pentru plugin-uri (sursa principală a breach-urilor)

2. Security Coverage Application pentru module contributed

Pe Drupal.org, modulele contributed pot aplica pentru Security Coverage — mainainerii sunt obligați să răspundă la advisory-uri în SLA. Modulele fără coverage afișează clar "no stable release" / "no security coverage" — utilizatorul vede din avans riscul.

Pe WordPress, orice plugin upload-at în WordPress.org are același nivel de credibility — review process minimal, security disclosure ad-hoc.

3. Default configuration mai sigură

Drupal default:

• File uploads cu validation strict (extensions whitelisted, MIME type verification)
• Form tokens CSRF activate by default
• Database queries via DBTNG abstraction (PDO prepared statements)
• Twig templates auto-escape XSS

WordPress default:

• File uploads permit-by-default (necesită hardening manual)
• CSRF tokens există dar mai laxe
• Plugin-urile rule largely independent (unele folosesc raw SQL)

4. Drupal Steward — protecție proactivă WAF

Programul Drupal Steward (lansat 2020) oferă protecție WAF la nivel CDN (Cloudflare partnership) pentru CVE-uri critice — patch-ul e aplicat la edge înainte ca request-ul să ajungă la origin server. Aceasta înseamnă că chiar și site-uri unpatched sunt protejate temporar contra exploits cunoscute.

Detalii suplimentare în comparația Drupal vs WordPress pe security.

Care sunt cele 12 module Drupal security esențiale în 2026?

Recomandări validate pe 50+ proiecte enterprise. Modulele de mai jos sunt stable, mature, cu security coverage activ.

Authentication & Access Control

Modul	Versiune	Scop
tfa (Two-Factor Authentication)	2.0+	2FA obligatoriu pentru roles admin/editor — TOTP (Google Authenticator) sau SMS
password_policy	4.0+	Forțează lungime minimă, complexitate (uppercase + lowercase + cifră + special), expirare 90 zile
flood_control	3.0+	UI pentru gestionare flood limits (login attempts, password reset attempts)
username_enumeration_prevention	1.4+	Blochează enumerarea username-urilor prin login form errors

Audit & Monitoring

Modul	Versiune	Scop
audit_log	2.0+	Audit trail server-side pentru orice modificare administrativă
security_review	2.0+	Audit automat configurație — file permissions, directory listing, error display
monitoring	1.0+	Real-time alerts pentru evenimente critice (failed logins, exceptions)

Input Validation & XSS Protection

Modul	Versiune	Scop
paranoia	2.0+	Blochează permisiuni periculoase (use PHP for settings, administer site) chiar pentru admin
honeypot	2.2+	Anti-spam pe form-uri publice (alternativă la reCAPTCHA, fără tracking Google)

Server-Side Hardening

Modul	Versiune	Scop
seckit (Security Kit)	1.5+	Headers HTTP security (CSP, X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security)
automated_logout	2.1+	Auto-logout după inactivitate (recomandat: 15 min admin, 60 min editor)
coder (development only)	8.3+	Verificare cod custom contra Drupal Coding Standards (security best practices)

Cum se realizează audit security pe Drupal pas cu pas?

Procesul recomandat în 7 pași, validat empiric pe proiecte enterprise:

Pasul 1: Verificare versiune Drupal core + module

# Versiune Drupal core
drush status --field=drupal-version

# Module cu update-uri disponibile (inclusiv security)
drush pm:security
drush pm:list --status=enabled --fields=name,version

Acțiune: orice modul cu security update available → patch în 24-72h max.

Pasul 2: Permisiuni file system

# Director root Drupal
sudo find /var/www/drupal -type d -exec chmod 750 {} \;
sudo find /var/www/drupal -type f -exec chmod 640 {} \;

# Director sites/default/files (writable)
sudo chmod -R 770 /var/www/drupal/web/sites/default/files

# settings.php (read-only după install)
sudo chmod 444 /var/www/drupal/web/sites/default/settings.php

Reguli:

• Niciun fișier 777 (world-writable)
• settings.php permission 444 (read-only)
• Owner toate fișiere: web server user (typic www-data)

Pasul 3: Verificare configurație PHP

# /etc/php/8.2/fpm/php.ini

# Disable funcții periculoase
disable_functions = exec,passthru,shell_exec,system,proc_open,popen

# Memory limit reasonable (prevent DoS)
memory_limit = 256M

# Max upload size (per use case)
upload_max_filesize = 32M
post_max_size = 32M

# Hide PHP version
expose_php = Off

# Limits sesiune
session.cookie_httponly = 1
session.cookie_secure = 1
session.cookie_samesite = "Strict"

Pasul 4: Configurare Drupal settings.php hardening

// settings.php — Trusted host pattern (esențial pentru Drupal 8+)
$settings['trusted_host_patterns'] = [
  '^example\.ro$',
  '^www\.example\.ro$',
];

// Reverse proxy (dacă folosești CDN/load balancer)
$settings['reverse_proxy'] = TRUE;
$settings['reverse_proxy_addresses'] = ['10.0.0.1', '10.0.0.2'];

// File system paths secure
$settings['file_private_path'] = '/var/private-files'; // Outside webroot

// Hash salt unic per site (regenerează la setup)
$settings['hash_salt'] = 'random-64-chars-string-...';

// Disable update notifications via plugin (use drush pm:security)
$config['update.settings']['notification']['emails'] = ['security@example.ro'];

Pasul 5: Configurare HTTPS + Security Headers

# /etc/nginx/sites-enabled/example.ro

server {
    listen 443 ssl http2;
    server_name example.ro www.example.ro;

    # HTTPS only
    ssl_certificate /etc/letsencrypt/live/example.ro/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.ro/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    # Security Headers
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;
    add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;

    # CSP — adaptare per site
    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:;" always;

    # Block access la fișiere sensibile
    location ~ \.(sql|sqlite|tar|gz|zip|env|ini|log)$ {
        deny all;
    }
    location ~ /\. {
        deny all;
    }
}

Pasul 6: Configurare baza de date + backup

# Backup automat zilnic
0 3 * * * /usr/local/bin/drupal-backup.sh

# Test restore lunar (esențial — backup nerestoreat = backup inexistent)
0 4 1 * * /usr/local/bin/drupal-backup-test-restore.sh

Stochează backup-uri offsite (S3, Backblaze B2) cu encryption at-rest. Retention policy: daily 7 zile, weekly 4 săpt, monthly 12 luni.

Pasul 7: Penetration testing periodic

Pentru proiecte enterprise:

• Annual pentest de către firmă independentă (Akamai, Tag1, sau pentest companies din RO)
• Quarterly automated scans cu OWASP ZAP, Burp Suite, sau Nessus
• Continuous monitoring prin SIEM (Splunk, ELK Stack, Datadog Security)

Cost estimat: pentest profesional €3.000-€8.000 per session, automated scans €100-€500/lună.

Care este checklist-ul complet de audit security Drupal? (47 puncte)

Folosit empiric pe toate proiectele enterprise Drupal — împărțit în 7 categorii:

A. Drupal Core & Module (8 puncte)

1. ✅ Versiune Drupal core e ultima stable + security patches aplicate (max delay 72h post-release)
2. ✅ Toate modulele contributed au security coverage activ (drupal.org)
3. ✅ Niciun modul dev enabled în production (devel, kint, webprofiler)
4. ✅ Update notifications configurate pe email security@ (nu la admin individual)
5. ✅ Composer.lock committed în repository (reproductibilitate exactă deploy)
6. ✅ Niciun modul deprecated (PHP 7.x compatible only) — toate compatibile PHP 8.2+
7. ✅ Configuration management (CMI) folosit pentru deploy config (nu manual UI changes în prod)
8. ✅ Patch management strategic — patches custom documented și retestate post update core

B. Authentication & Authorization (9 puncte)

9. ✅ 2FA activat pentru toate role-uri cu permisiuni admin
10. ✅ Password policy configurată (lungime ≥ 12, complexitate, expirare 90 zile)
11. ✅ Username "admin" rename-uit (nu folosi default)
12. ✅ Role-Based Access Control (RBAC) — rolurile au minim permissions necesare
13. ✅ User 1 (super-admin) fără login zilnic — folosit doar pentru emergency
14. ✅ Inactive users disabled după 90 zile fără login
15. ✅ Failed login attempts limitate (flood_control) — 5 attempts → 1h block
16. ✅ Forgot password flood limit (3 requests/h per user)
17. ✅ Session lifetime rezonabil (max 24h, idle logout 30 min)

C. Input Validation & XSS (5 puncte)

18. ✅ Toate form-urile au CSRF tokens (default Drupal — verifică custom forms)
19. ✅ User input este sanitizat (validate cu Filter API, nu raw output)
20. ✅ CKEditor 5 cu HTML filter strict (whitelist tags permise)
21. ✅ File uploads cu validation strict (extensions whitelist, MIME type verify, virus scan)
22. ✅ Twig templates fără |raw filter pe user input (auto-escape default)

D. Server-Side Hardening (10 puncte)

23. ✅ HTTPS only (HTTP redirect la HTTPS)
24. ✅ HSTS header active cu max-age ≥ 1 an + includeSubDomains
25. ✅ X-Frame-Options: SAMEORIGIN (prevenire clickjacking)
26. ✅ X-Content-Type-Options: nosniff
27. ✅ Content-Security-Policy strict (no unsafe-eval, restricted sources)
28. ✅ PHP expose_php = Off
29. ✅ Server signature dezactivată (server_tokens off în nginx)
30. ✅ Director listing dezactivat (autoindex off)
31. ✅ Acces la .git/, .env, backup files blocked în nginx config
32. ✅ Reverse proxy configurat corect (trusted_host_patterns în settings.php)

E. Database & File System (6 puncte)

33. ✅ Database user cu privilegii minime (no DROP, ALTER, GRANT pe production)
34. ✅ Database backup zilnic + offsite + tested restore lunar
35. ✅ File permissions corecte (640 fișiere, 750 directoare, 444 settings.php)
36. ✅ sites/default/files cu permission 770 + protection .htaccess pentru file types periculoase
37. ✅ Private files outside webroot ($settings['file_private_path'])
38. ✅ MySQL/MariaDB cu ssl-mode=REQUIRED dacă e remote

F. Monitoring & Incident Response (5 puncte)

39. ✅ Audit log activ pentru modificări admin (modulul audit_log)
40. ✅ Security alerts via email pentru CVE-uri critice
41. ✅ Uptime monitoring + alerting (Pingdom, UptimeRobot)
42. ✅ Performance monitoring (New Relic, Datadog) cu alerts pentru spike anomalies
43. ✅ Incident response plan documented (cine, ce, când, cum în caz de breach)

G. Compliance & Governance (4 puncte)

44. ✅ GDPR compliance: privacy policy + cookie consent (modulul eu_cookie_compliance)
45. ✅ User data export disponibil (GDPR right to access)
46. ✅ User account deletion funcțional (GDPR right to erasure)
47. ✅ Annual security audit + pentest documented

Scor target proiecte enterprise: 47/47 (100%). Proiecte mid-tier acceptabile la 42+/47 (90%).

Cum răspunzi la un CVE critic Drupal în 24-72h?

CVE-urile critice (CVSS ≥ 9.0) cer răspuns rapid. Procesul recomandat:

T+0h: Notificare (Wednesday Security Window)

Drupal Security Team publică advisory pe drupal.org/security cu:

• CVE-ID + CVSS score
• Affected versions (e.g. "Drupal core < 10.2.5")
• Vulnerability type (XSS, SQL injection, RCE, etc.)
• Mitigation steps (patch vs config workaround)

T+0h - T+4h: Triage

1. Verifică dacă site-ul tău e affected (drush status --field=drupal-version)
2. Citește advisory complet (poate exista config workaround temporar înainte de patch)
3. Decide priority: critical → patch ASAP, high → patch în 24h, medium → patch în 72h

T+4h - T+24h: Test în staging

1. Deploy patch (composer update drupal/core --with-dependencies) în staging
2. Run regression tests (smoke tests minimum, full suite ideal)
3. Verifică că funcționalitatea critică nu e afectată (login, checkout, formulare)

T+24h - T+72h: Deploy production

1. Maintenance mode activ (5-10 min downtime tipic)
2. Deploy patch via CI/CD (sau drush manual)
3. Clear cache + verify functionality
4. Monitoring intensif primele 2h post-deploy (logs, errors, uptime)

T+72h+: Post-mortem

1. Document incident (CVE, response time, lessons learned)
2. Update runbook dacă apar lacune
3. Communicate cu stakeholders (dacă a fost downtime sau incident perceptibil)

Drupal Steward — bypass pentru emergency

Pentru proiecte cu Drupal Steward subscription (Cloudflare WAF integration), patch-urile critice sunt deployed automat la edge — protecție în 1-4h fără atingerea origin-ului. Cost: $5,000-$50,000/an depending pe plan.

Care sunt cele mai frecvente vectori de atac pe Drupal în 2026?

Top 7 vectori observați empiric pe proiecte real-world:

1. Module contributed cu vulnerabilități nepatch-uite (40% din breach-uri)

Pattern: site cu 50+ module, dintre care 5-10 nu au update-uri în ultimele 6 luni → CVE descoperit într-unul → exploited.

Mitigare: audit module trimestrial, abandonează modulele fără maintainer activ, înlocuiește cu module mature.

2. Permisiuni admin prea generoase (20% din breach-uri)

Pattern: rolurile "Editor" cu permisiuni "Administer modules" sau "Use PHP for settings" → editor compromis → escaladare la admin.

Mitigare: principle of least privilege — rolurile au minimum permissions necesare. Modulul paranoia blochează permisiunile periculoase.

3. Brute force pe login (15% din breach-uri)

Pattern: login form fără rate limiting → bots încearcă mii de combinații username/password → eventual succes pe parole slabe.

Mitigare: flood_control + 2FA + password policy + monitoring failed logins.

4. SQL injection în custom code (10% din breach-uri)

Pattern: modul custom dezvoltat de freelancer fără DBTNG (raw SQL queries) → SQL injection exploitat.

Mitigare: code review obligatoriu pentru module custom, folosește mereu DBTNG (PDO prepared statements), niciodată concatenare SQL cu user input.

5. XSS prin CKEditor permissive (8% din breach-uri)

Pattern: CKEditor configurat să permită HTML arbitrar (<script> tags) → editor compromis postează malicious script.

Mitigare: HTML filter strict cu whitelist tags permise, niciodată permite <script> în content user-generated.

6. File upload vulnerabilities (5% din breach-uri)

Pattern: form upload acceptă orice extension → atacator urcă PHP shell → execută comenzi server.

Mitigare: extensions whitelist (jpg, png, pdf only), MIME type validation server-side, virus scanning (ClamAV), private files outside webroot.

7. Misconfigurare reverse proxy (2% din breach-uri)

Pattern: trusted_host_patterns nu e configurat → host header injection → XSS prin URL canonical.

Mitigare: trusted_host_patterns mereu configurat în settings.php pentru toate domeniile valide.

Studii de caz security Drupal

Caz 1: ONG cu site Drupal 9 — incident XSS prin CKEditor

Context: ONG cu site Drupal 9, 15 editori cu rolul "Content editor". CKEditor configurat permissive (full HTML allowed).

Incident: Editor compromis (phishing email → password leaked) postează articol cu <script src="malicious.js"> în body. Script-ul redirecționa vizitatorii spre site phishing.

Detecție: Audit log + monitoring traffic anomaly (spike redirecturi externe).

Remediere (8 ore):

1. Articolul malițios scos din publicare
2. CKEditor reconfigurat cu HTML filter strict (whitelist <p>, <a>, <img>, <h2-h6>, <ul>, <ol>, <li>, <strong>, <em>)
3. 2FA activat obligatoriu pentru toate role-urile cu publish permissions
4. Audit log review pentru toate modificările ultime 30 zile
5. Communication transparent către users prin newsletter

Cost remediere: €1.500 (8h dezvoltator senior + comunicare)

Caz 2: Companie B2B SaaS — incident brute force admin

Context: SaaS cu Drupal 10, 50+ employees cu acces dashboard custom.

Incident: Atacator face brute force pe admin login (username conhost predictible). 50.000+ failed login attempts în 6 ore. Site rămâne accesibil dar performance degraded.

Detecție: monitoring → spike CPU + database connections → admin investigation.

Remediere (4 ore):

1. flood_control configurat strict (3 attempts → 1h ban per IP)
2. fail2ban configurat pe nginx pentru ban IP la 50+ failed logins
3. 2FA activat obligatoriu pentru toate admin/editor roles
4. Cloudflare WAF rule custom pentru a bloca user agents suspecte

Cost remediere: €800 (4h dev + 1h infra). Cost prevenit: potential breach + GDPR penalty.

Caz 3: Instituție publică — Drupal 7 EOL exploitation attempt

Context: Site .gov.ro pe Drupal 7 (EOL ianuarie 2025). Migrare la Drupal 10 planificată dar amânată din motive bugetare.

Incident: Tentativă exploit cu CVE post-EOL (no longer patched). Drupal Steward subscription detectează tentative + blochează la edge.

Remediere accelerată (3 luni):

1. Migrare urgentă la Drupal 10 — vezi ghidul de migrare Drupal 7 → 10/11
2. Drupal Steward subscription extinsă pe perioada migrare
3. Audit security complet post-migrare

Cost migrare: €45.000 (forced expediated). Cost prevenit: potential national-scale breach + reputational damage.

Întrebări frecvente despre Drupal security

Cât costă un audit security pentru un site Drupal? €2.000-€8.000 depinde de complexitate (number of modules, custom code volume). Pentru proiecte enterprise (100+ modules, custom integrations): €5.000-€15.000.

Trebuie să am 2FA pentru toți utilizatorii? Nu pentru toți — doar pentru role-uri cu publish/admin permissions. Visitor / customer accounts: opțional (poate degrada UX). Editor / admin: obligatoriu.

Cât de des trebuie să rulez audit security?

• Continuu: automated scans (security_review cron, OWASP ZAP CI integration)
• Trimestrial: review module updates + access logs
• Anual: full pentest profesional (firmă terță independentă)

Drupal Steward merită investiția? Pentru proiecte enterprise (>€50.000 total project cost) și/sau cerințe de uptime ridicat: da. Cost ($5K-$50K/an) e mic comparativ cu costul unui breach (potential €100K-€1M+ în GDPR penalties + remediation + reputation damage).

Care e diferența între Drupal Standard vs Drupal Steward?

• Standard: patch-uri publicate de Security Team, deploy responsibility = client
• Steward: patch-uri deployed automat la edge prin Cloudflare WAF — protecție 0-day pentru CVE-uri critice

Pot să folosesc Drupal 7 încă în 2026? NO. Drupal 7 e EOL din ianuarie 2025 — nu mai primește security patches. Drupal Steward poate oferi protecție temporară (limited, costisitor), dar migrarea la Drupal 10/11 e obligatorie. Vezi ghidul de migrare Drupal.

Care sunt CVE-urile cele mai critice Drupal din 2024-2026?

• SA-CORE-2024-005 (CVSS 9.8 — RCE through certain file upload paths) — patched 2024-04
• SA-CORE-2025-001 (CVSS 8.5 — XSS in Layout Builder) — patched 2025-02
• SA-CONTRIB-2025-012 (CVSS 7.4 — SQL injection in Webform Encrypt) — patched 2025-06

Toate patched la momentul publicării. Verifică drupal.org/security pentru lista completă actualizată.

E sigur să las module dev (devel, webprofiler) în production? NO ABSOLUTE. Aceste module expun informații sensibile (config, queries, sessions). Disable înainte de deploy production. composer remove --dev drupal/devel pentru curățare definitivă.

Concluzie: cum implementezi security mature pentru Drupal?

Roadmap recomandat pentru atingerea unui security posture mature:

Saptamana 1: Quick wins

• Activează 2FA pentru toate admin roles
• Configurează password policy (lungime ≥ 12, complexitate)
• Activează modulele seckit, flood_control, audit_log
• Audit module obsolete (no security coverage) → înlocuiește sau abandonează

Luna 1: Hardening fundamental

• Configurare HTTPS + security headers complete
• Audit file permissions + settings.php hardening
• Backup strategy + offsite + test restore lunar
• Monitoring + alerting setup (Pingdom + audit_log alerts)

Luna 2-3: Security operations mature

• Document incident response plan
• Penetration testing inițial (firmă independentă)
• Implementare Drupal Steward (proiecte enterprise)
• Quarterly security review cycle stabilit

Anul 1+: Continuous improvement

• Annual pentest + audit independent
• Continuous monitoring SIEM
• Security training equipped echipă internă
• Update strategie: max 72h delay pentru critical CVEs, 1 săpt pentru high

Costul de a NU implementa security: un breach pe site enterprise = potential €100.000-€1.000.000+ daune (GDPR penalties + remediation + reputational damage). Investiția în security = 1-3% din TCO total proiect, ROI > 100× în caz de incident prevenit.

Pentru proiecte instituționale (.gov.ro, .edu.ro) cu cerințe security stricte, vezi ghidul Drupal pentru sectorul public — security e cerință obligatorie, nu opțională.

---

Vrei un audit security pe site-ul tău Drupal sau implementare hardening enterprise? Echipa Digital Rocket oferă audit cu cele 47 de puncte de verificare + plan remediere prioritizat risk-based + implementare hardening la cheie. Vezi serviciile noastre de web development cu specializare Drupal sau contactează-ne pentru o evaluare în 48 de ore.

---

Glosar termeni Drupal security

• CVE (Common Vulnerabilities and Exposures) — identifier unique pentru o vulnerabilitate raportată
• CVSS (Common Vulnerability Scoring System) — scor 0-10 pentru severitate vulnerabilitate (≥ 9.0 = critic)
• 2FA (Two-Factor Authentication) — autentificare cu factor secund (SMS, TOTP, hardware key)
• TOTP (Time-based One-Time Password) — algoritm pentru generare cod 6 cifre cu expirare 30s (Google Authenticator, Authy)
• WAF (Web Application Firewall) — filtru request-uri HTTP la edge pentru blocare exploit-uri cunoscute
• CSP (Content Security Policy) — header HTTP pentru restricție surse JavaScript / CSS / images
• HSTS (HTTP Strict Transport Security) — header HTTP forțează HTTPS pentru toate request-urile viitoare
• CSRF (Cross-Site Request Forgery) — atac care induce browserul să facă action pe alt site
• XSS (Cross-Site Scripting) — injectare JavaScript în pagină pentru execuție în browser-ul victimei
• RCE (Remote Code Execution) — vulnerabilitate care permite execuție cod arbitrar pe server
• SQL Injection — injectare cod SQL prin input nesanitizat
• DBTNG (Database The Next Generation) — abstraction layer Drupal pentru queries cu PDO prepared statements
• Drupal Steward — program comercial de protecție WAF proactiv pentru vulnerabilități critice (Cloudflare integration)
• Wednesday Security Window — fereastră lunară predictibilă (a treia miercuri) când Drupal Security Team publică patches
• paranoia module — modulul care blochează permisiuni periculoase (use PHP for settings, administer site)
• flood_control — modulul Drupal pentru rate limiting login attempts + password reset
• audit_log — modulul pentru log per câmp cu cine/ce/când a modificat conținutul
• fail2ban — tool Linux care banează IP-uri după N failed authentication attempts
• Pentest (Penetration Testing) — testarea security manuală + automată simulând un atacator real

---

Ai nevoie de un audit security sau implementare hardening pe site-ul tău Drupal? Contactează-ne pentru o consultanță tehnică gratuită + plan remediere personalizat.