вот хороший модуль Content-Security-Policy. только после его настройки может что-то не заработать и он немного устарел.

я проверял безопасность на этом ресурсе https://observatory.mozilla.org/ .

вот хороший комбайн Security Kit, Secure Login и старый модуль Security Review можно запустить .

Безопасность это не какие-то настройки, это постоянная работа.

Основной рецепт таков: Квалифицированные разработчики, квалифицированный системный администратор, который будет следить за сервером, а не просто один раз его настроит(что хорошо, но не достаточно), своевременные обновления и ядра/модулей и серверного ПО.
За сайтом надо постоянно следить и обслуживать его.

Дополнительно:
Возможно, имеет смысл использовать перед сайтом какой-нибудь Cloudflare c настроенным WAF(там есть профиль для drupal) или поднять и настроить WAF на сервере.

Secure Login - совершенно бесполезный модуль, если у вас есть https(а как не быть ему),у вас должен быть и так редирект на https, всех запросов, а не только формы логина.

Security Kit, Content-Security-Policy не то, чтобы совершенно бесполезны, но эти заголовки устанавливаются в правильном конфиге веб сервера, и тогда они не нужны фактически.

Security Review проверяет ну совсем очевидные вещи только. Если, у вас адекватный разработчик, вам тоже не нужен. А если нет, то от плохого кода/подхода к разработке не поможет ничего.