Quando falamos em segurança precisamos lembrar que temos pessoas tentando invadir nosso site a todo tempo.
Drupal por padrão traz opções para bloquear essas tentativas (Floods), contudo pode ser que você queira personalizar ou reforçar essa segurança.
Dois módulos podem ajudar nessa tarefa: Flood Control e Login Security.
Flood Control
O primeiro, Flood Control, traz uma interface simples para alterar as opções padrões do Drupal.
Nessas opções temos:
Faled login (IP) limit: limite de tentativas de login através de um único IP.
Faled login (IP) window: tempo que o IP do usuário ficará bloqueado (após o limite de tentativas atingido.
Faled login (username) limit: limite de tentativas de login através de um usuário Drupal. Nesse caso após atingir o limite de tentativas o usuário não conseguirá mais fazer login até o tempo limite (abaixo) seja atingido.
Faled login (username) window: tempo que o usuário ficará bloqueado (após o limite de tentativas atingido.
É importante lembrar que essas opções já estão presentes no Drupal 7 e fazem o bloqueio mesmo sem o uso da interface Flood Control.
https://www.drupal.org/project/flood_control
Login Security
Já a segunda opção, Login Security, é bem mais completa e traz diversas configurações como bloquear um login específico após N tentativas ou ainda enviar um alerta por email sobre o problema.
https://www.drupal.org/project/login_security
Importante (Proxy Reverso e ou Firewall)
Se seu Drupal está hospedado em um servidor que oferece proxy reverso ou Firewall (Exemplo: Cloudflare), você deve alterar as configurações abaixo para identificar corretamente a origem da requisição.
$conf['reverse_proxy'] = TRUE;
$conf['reverse_proxy_addresses'] = array('1.2.3.4');
Onde [1.2.3.4] deve ser substituído pelo IP do proxy reverso.
Referência: http://vvv.tobiassjosten.net/drupal/correct-ip-with-reverse-proxy-and-drupal/
Quer reforçar ainda mais a segurança? Dê uma olhada nesses dois módulos:
Paranoia: https://www.drupal.org/project/paranoia
Security Review: https://www.drupal.org/project/security_review