Les clés pour la sécurité Drupal

Vous pensez que Drupal est sécurisé ? Il y a beaucoup de choses à savoir pour utiliser les bonnes pratiques dans le but de protéger votre site au maximum. Utilisation, permissions, modules, hébergeur, vous voulez en savoir plus ?

Les clés pour utiliser Drupal en toute sécurité

Drupal est actuellement un des CMS les plus utilisés pour le développement de sites internet. Avec cette popularité, la sécurité est primordiale. Bien que Drupal, reste largement très sécurisé, il existe des méthodes supplémentaires que l’utilisateur doit absolument entreprendre afin de s’assurer que son site reste résistant aux attaques autant que possible.

Permissions maintenus au minimum

Dans Drupal, les utilisateurs disposent de privilèges qui leur donne accès à chacune des sections. Ceci, bien-sûr, signifie que les privilèges qui se retrouvent entre de mauvaises mains pourraient s’avérer être dangereux pour votre site. Ces privilèges vous permettent de contrôler ce que les utilisateurs peuvent voir et faire.
Trois rôles sont créés par défaut à l'installation de Drupal : les utilisateurs authentifiés, les utilisateurs anonymes et les administrateurs. Vous pouvez définir un ensemble spécifique de permissions pour ces trois rôles. Il est à noter que l’administrateur peut aussi créer de nouveaux rôles.
Cette fonction critique est la raison pour laquelle il faut s’assurer que le nombre de comptes administrateurs sur votre site soit maintenu au minimum.
Ces comptes critiques doivent bien entendu être administrés par des personnes de confiance.

Rôles et permissions sur Drupal

Installer des modules approuvés et pris en charge

Drupal est composé de divers modules très puissants qui facilitent son utilisation en le rendant plus flexible. Cependant, tous ces modules ont leurs particularités. Chaque jour, des milliers de robots parcourent la toile à la recherche de failles de sécurité.
La communauté Drupal, très active sur la sécurité, teste et corrige les éventuelles failles détectées. Chacune d’elles fait l'objet d'une correction plus ou moins rapide.

Ainsi, pour protéger votre site de ces attaques, assurez-vous d’installer des modules approuvés par la communauté Drupal. Si vous avez besoin de la fonctionnalité d’un module qui n’est pas encore très populaire, assurez-vous d'effectuer une recherche appropriée avant de procéder à son installation.

Modules approuvés sur Drupal

Gardez le noyau et les modules Drupal à jour

Il se peut qu’une personne malveillante tente de récupérer les données de votre site. C’est pour cela que les modules installés doivent être patchés régulièrement car ils incluent souvent des correctifs de sécurité.

La mise à jour de votre site peut-être dû à une faille de sécurité majeure comme Drupalgeddon 2, qui a touché plus de 115 000 sites. Lors de sa découverte, pour corriger cette vulnérabilité, Drupal a fortement conseillé à toute sa communauté d’appliquer les correctifs de sécurité publié par ses développeurs.

La principale conclusion à retenir est qu’il est vital pour votre site web, de garder Drupal et ses modules à jour.

Site non mis à jour :

Mise à jour des modules Drupal

Un bon hébergeur, un point primordial pour la sécurité de votre site

Un autre élément important, bien souvent négligé, est le choix d’un bon hébergeur. Alors que la rapidité et la fiabilité sont sans aucun doute des facteurs importants lors du choix d’un hébergeur, vous devriez également voir quel type de mesures de sécurité il fournit. Il faut qu’il dispose de mesures de sécurité résistantes à toute épreuve ce qui sera déjà une base bien solide pour la sécurité de votre site.

Pour choisir son prestataire, il est opportun de prendre en compte plusieurs critères :

  • Le nombre de sauvegardes effectuées par votre hébergeur. En effet, si votre hébergeur effectue des sauvegardes régulières de votre site, vous n’aurez rien à craindre en cas de piratage informatique ou d’une éventuelle panne.
  • Mettre en place un certificat SSL afin de sécuriser les communications clients-serveur via le protocol HTTPS. Ceci est primordiale lors de l’achat en ligne pour un site e-commerce par exemple.
  • Une protection anti-DDoS est nécessaire car une attaque DDoS entraîne une saturation du serveur, et de ce fait le rend injoignable.
  • Le chiffrage des données via le hachage sha512. Le hachage est utilisé pour comparer les données comme celles des mots de passe, la vérification des données téléchargées ou bien la signature électronique.
Photo d'un serveur

Les modules pour la sécurité

Comme nous le disions précédemment, Drupal est composé de divers modules. Il en existe de nombreux qui offrent différentes méthodes pour sécuriser votre site. En voici quelques uns :

  • Password Policy

    Ce module permet de contrôler la structure d’un mot de passe comme le nombre de caractères, l’utilisation de caractères spéciaux, etc. Ce module a été téléchargé plus de 260 000 fois.

  • Security Review

    Ce module permet de sécuriser le site lors de l’affichage des erreurs. Il évite ainsi la divulgation des informations inutiles, et promet la sécurité des fichiers privés. Il a été téléchargé plus de 270 000 fois.

  • Kit de sécurité

    Ce module sauvegarde les politiques de contenu, la manipulation des rapports du navigateur et la gestion de la violation. Il apporte les meilleures options de sécurité. Le module Kit de sécurité permet de réduire les risques d'exploitation des différentes vulnérabilités des applications web.

  • Username Enumeration Prevention

    Si des personnes malveillantes tentent de découvrir le nom d’utilisateur d’un site Drupal, ils peuvent utiliser la technique de “l’énumération des utilisateurs”. Ils vont pour cela tout simplement entrer un nom d’utilisateur qui n’existe pas. Drupal leurs donnera alors une réponse automatique qui leur indiquera que l’utilisateur est inconnu. Ils n’auront plus qu’à essayer d’autres noms d'utilisateur jusqu’à en trouver un valide.

    Le module Username Enumeration Prevention va tout simplement empêcher cela. Quand le module sera activé, le message d'erreur sera remplacé par le même message qu'un utilisateur valide. Ils seront alors redirigés vers le formulaire de connexion. Si l'utilisateur n'existe pas, aucun e-mail de réinitialisation du mot de passe ne sera envoyé.

  • Generate Password

    Son objectif est de rendre optionnel la création d’un mot de passe lors de l’enregistrement d’un nouvel utilisateur. Si le champ mot de passe n’est pas défini pendant l’enregistrement, le module va générer un mot de passe fort.

D’autres mesures s’imposent !

En dehors des conseils ci-dessus, il existe d’autres bonnes pratiques qui doivent être régulièrement effectuées pour s’assurer que votre site reste le plus sûr possible.

En voici quelques-unes :

  • Vérifiez régulièrement les rapports d’état de Drupal pour avoir un aperçu de la sécurité de votre site.
  • Assurez-vous d’utiliser des mots de passe forts et changez-les régulièrement
  • Utilisez l’authentification à double facteurs
  • Supprimez les utilisateurs inactifs
  • Retirez les modules qui ne vous servent à rien
  • Il est recommandé d'éviter de modifier le fichier .htaccess. En effet, la mise à jour du core de Drupal remplacera le fichier .htaccess par la version par défaut.
  • Faites des sauvegardes régulières de votre site

Pour conclure

Gardez toujours ces conseils à l’esprit et gardez une longueur d’avance sur les potentielles attaques que peut subir votre site internet.

Vous souhaitez en savoir plus ? N'hésitez pas à en parler avec nos équipes nous nous ferons un plaisir de vous accompagner dans la sécurisation de votre site.

Ajouter un commentaire

Le contenu de ce champ sera maintenu privé et ne sera pas affiché publiquement.