Comment sécuriser un site Drupal ?

Avez-vous rencontré Drupal Security et vous vous demandez comment protéger votre application ?

Tu es venu au bon endroit.

A lire également : Sécuriser son compte sur le webmail AC Montpellier

Outre tout l’argent que vous pouvez gagner en créant de nouvelles applications logicielles sûres, innover dans ce secteur donne aux entreprises la possibilité d’avoir un impact énorme sur la vie des gens. Voici quelques études de cas étonnantes d’entreprises qui ont embauché DevTeam.space pour construire leurs produits logiciels :

  1. Logiciel de propriété immobilière — Programme de vérification de la propriété
  2. Cadeau Swift — App eCommerce Android et iOS
  3. Visage, sexe, âge, système de reconnaissance — Programme d’apprentissage automatique

Introduction

Tous les quelques jours, des incidents de piratage sont signalés dans le monde entier ; certains incidents sont inoffensifs tandis que d’autres peuvent être plus graves et entraîner la perte de données personnelles, financières ou de consommation.

Lire également : Nos solutions pour protéger vos données

En tant que propriétaire du site, il n’y a rien de plus pétrifiant que l’idée d’avoir tout votre travail changé ou complètement effacé par des utilisateurs malveillants ou des logiciels. Les pirates, les spammeurs, les voleurs et les intrus sont constamment à la recherche des données qui peuvent être facilement exploitées. Le piratage est l’une des plus grandes menaces qui pèsent sur les entreprises dans le monde en ligne, alors pourquoi ne pas épargner un peu de temps pour protéger votre site Web contre de tels exploits.

Dans ce billet de blog, c’est exactement ce que nous explorons. En particulier, nous nous concentrons sur Drupal du point de vue de la sécurité et que vous soyez un responsable technique de développeur web, impliqué dans la maintenance des serveurs ou même envisagez d’implémenter Drupal pour la première fois, après avoir lu ce billet de blog, vous aurez une compréhension approfondie de Drupal, comment le protéger contre utilisateurs malveillants et gardez vos données en sécurité.

Nous aborderons les sujets suivants :

  • Quelle est la vulnérabilité de Drupal ?
  • Caractéristiques de sécurité et facteurs de différenciation
  • Les modules Drupal que vous pouvez introduire pour sécuriser davantage votre
  • site Conseils pour sécuriser votre site Web Drupal.
  • Résumé

Quelle est la vulnérabilité de Drupal ?

Avez-vous déjà pensé au risque que vous courez quand il s’agit de Drupal ? Eh bien, selon le Common Vulnerabilities and Exposure (qui est une source de données de vulnérabilité en ligne), plus de 290 vulnérabilités ont été signalées depuis 2002.

L’ exploration de ces données d’un peu plus près révèle que 46 % des vulnérabilités de Drupal sont causées par des scripts intersites. Voici la rupture :

Source : (Jackson, 2018)

Caractéristiques de sécurité et facteurs de différenciation

Drupal est un système de gestion de contenu qui alimente environ 2,5 % de tous les sites Web. C’est un système open-source écrit en PHP et se distingue de la concurrence en fournissant des mises à jour régulières qui entraînent plus de fonctionnalités et une sécurité accrue.

Il a une grande communauté de développeurs qui contribuent continuellement à modules et thèmes de l’écosystème Drupal et a été développé dans un souci de sécurité afin de garantir que les sites Web construits sur la plateforme sont sûrs et sécurisés.

Cela dit, les systèmes Drupal obsolètes peuvent être exposés à des vulnérabilités, ce qui rend essentiel le suivi des meilleures pratiques en matière de sécurité. La sécurisation de votre site Web Drupal n’est possible que si vous comprenez comment fonctionnent les fonctionnalités de sécurité dans Drupal, dont certaines incluent :

Accès sécurisé Les mots de passe des comptes Drupal sont fortement cryptés lorsqu’ils sont stockés dans la base de données et peuvent aider un large éventail de stratégies associées à la création de mots de passe, y compris l’expiration, le nombre minimum de caractères et le niveau de complexité. pratique d’authentification. Cette authentification permet d’éloigner les robots non autorisés de votre site Web.

Contrôle d’accès granulaire Avec Drupal, les administrateurs peuvent avoir un meilleur contrôle qui peut visualiser et qui peut apporter des modifications à chaque partie du site. Le logiciel fonctionne sur un système de rôles utilisateur et d’autorisations d’accès.

Cela permet aux administrateurs de créer des rôles qui accordent une autorisation limitée aux utilisateurs. Par exemple, un site peut créer un rôle Auteur qui lui permet de mettre à jour le contenu, mais n’aura pas l’autorité de publier ou de supprimer du contenu.

Par rapport aux autres systèmes de gestion de contenu populaires, Drupal s’avère être protégé contre les logiciels malveillants les plus courants. Drupal offre une fonctionnalité de flexibilité avec la présence de multiples thèmes attrayants et options de personnalisation à choisir.

Gestion des mises à jour avec Drupal Update Manager Pour tout système de gestion de contenu, les mises à jour logicielles ou les correctifs sont essentiels. Chaque nouvelle mise à jour vise à résoudre les problèmes rencontrés par l’ancienne version. Les nouvelles mises à jour offrent également une sécurité accrue et la possibilité de corriger les bogues.

Drupal est livré avec le ‘Update Manager ‘qui est un qui suit les dernières mises à jour pour vous. Il notifie automatiquement les nouveaux thèmes et modules à votre site Web basé sur Drupal. Compte tenu de la nature du module, il s’agit d’une fonctionnalité incontournable pour votre site.

Modules pour sécuriser davantage votre site Drupal

Module Formulaire de connexion Ce module assure la sécurité de vos formulaires de connexion Drupal. Les formulaires de connexion sont une pratique courante pour beaucoup de sites Web destinés au public. Drupal implémente des modèles courants tels que :

  • limiter le nombre de tentatives de connexion ayant échoué
  • restreindre l’accès par adresse IP
  • cacher la raison de l’échec de connexion, ce qui rend difficile pour l’attaquant de savoir si le compte existe ou non
  • fournir des notifications de tout effort susceptible de menacer la sécurité du site

Stratégies de mot Ce module est utilisé pour fournir des contraintes lors de la création de mot de passe qui garantissent la solidité du mot de passe. L’utilisation du capital lettres, caractères spéciaux, chiffres et une longueur spécifique est nécessaire. Il ne permet pas la création de deux mots de passe similaires et envoie automatiquement la notification de renouvellement du mot de passe après une certaine période.

Captcha Un autre défi consiste à protéger le site contre les robots spammeurs. Drupal permet de détecter facilement si les visiteurs de votre site sont humains ou non. En implémentant CAPTCHA, votre site Drupal bloque tous les scripts automatisés et empêche l’inondation de votre base de données back-end ou serveur de messagerie.

Contrôle des inondations Les pirates ont récemment utilisé le forçage Brute pour craquer même les mots de passe les plus robustes. Il fonctionne comme l’autre module et protège Flood Control par des tentatives de connexion limitées.

Prévention du détournement Ce module est utilisé pour fournir peu de protection supplémentaire aux pages déjà sécurisées et empêche le détournement des pages SSL sur votre site. Ce module doit être utilisé même pour les pages les plus sécurisées de votre site Web.

Délai Ce module est particulièrement crucial pour la sécurité de votre site Web car il vous permet de définir le délai d’expiration d’une session inactive. Il peut être ajusté en fonction des rôles des utilisateurs, et dans certains cas, les utilisateurs sont autorisés à définir leur propre heure pour assurer la sécurité de leurs comptes.

Sessions simultanées Ce module garantit qu’un seul utilisateur ne peut pas utiliser plusieurs sessions. Il ne fournit qu’une seule session pour un navigateur. Une nouvelle session, sur le même navigateur, ne peut être utilisée qu’à la déconnexion de la session précédente. Cela fournit une couche de sécurité supplémentaire pour le site Web et la protection des comptes.

Accès au contenu Ce module vous aide à définir la limite à l’entrée d’un utilisateur ou d’un rôle particulier. Les autorisations peuvent être appliquées à l’utilisation, à la modification et à la suppression du contenu. Le module initial a une fonction de réglage par défaut qui peut être modifiée selon les exigences dudit utilisateur.

Conseils pour sécuriser votre site web Drupal

Maintenant que nous avons discuté de ce que Drupal, de certains modules de sécurité sont et que nous avons exploré certaines des vulnérabilités les plus courantes de Drupal, il est temps de nous tourner vers quelques conseils que nous avons rassemblés qui vous aideront à renforcer la sécurité de votre implémentation Drupal !

Mise à jour vers la dernière version de Drupal Si vous êtes un utilisateur Drupal existant, la mise à jour de votre logiciel vers Drupal 8 est la première étape à franchir. Prenez le temps d’effectuer des tests de fumée après avoir effectué la mise à niveau, par exemple, en cliquant sur les boutons qui effectuent des tâches courantes et en vous assurant que votre site ne contient pas d’erreur. Vérifiez que l’interactivité de base de données est opérationnelle et si vous envoyez des e-mails à partir de votre site, validez que les e-mails peuvent toujours être relayés via SMTP.

La mise à niveau de Drupal vous fournira non seulement de nouvelles fonctionnalités passionnantes, mais aussi des correctifs de sécurité avancés qui vous aideront à améliorer les performances de votre site Web et sécurité.

Modules à jour La mise à niveau vers la dernière version de Drupal ne suffit pas à vous épargner des risques de sécurité. Assurez-vous que vos modules Drupal sont également à jour. En vous assurant que tous vos modules existants sont à jour, vous pouvez réduire considérablement le risque d’exploitation de votre site.

Les sites Web ou les scripts qui exécutent des modules obsolètes peuvent être facilement exploités par des pirates informatiques. L’utilisation de versions mises à jour apportera non seulement de nouvelles fonctionnalités, mais aussi des corrections de bugs et d’autres mesures de sécurité. En gardant au courant des mises à jour, assurez-vous que votre site Web est exempt de vulnérabilités connues.

Choix des modules sélectifs Drupal vous donne la possibilité de personnaliser votre site Web en utilisant des milliers de modules. Il est important pour vous d’étendre les fonctionnalités de votre site Web tout en veillant à ce que cela ne soit pas compromis au détriment de la sécurité. Installez uniquement les modules dont vous avez absolument besoin !

Sécurité contre les fichiers malveillants Si vous donnez aux utilisateurs l’option de télécharger des documents sur votre site Drupal et de ne pas surveiller les types de fichiers qu’ils peuvent télécharger, les pirates peuvent télécharger des scripts malveillants ou des virus qui peuvent causer des ravages sur votre site à votre insu.

Ce type de problème peut être facilement résolu avec la sécurité « Content-Type » intégrée autorisée de Drupal. Vous pouvez apporter des modifications en effectuant les opérations suivantes :

  • Allez dans « Structure > Types de contenu > Gérer les champs » et cliquez sur « Modifier » en regard de Images pour supprimer les types de fichiers image.
  • Pour autoriser les téléchargements tels que des fichiers PDF, accédez à « Administrer > Configuration du site > Chargement de fichiers ». Supprimer les fichiers HTML et script des extensions de fichiers autorisées
  • Cliquez sur Enregistrer

Manipuler le code HTML dangereux avec « HtmlWed » Les utilisateurs malveillants ou les pirates peuvent compromettre votre site Web en téléchargeant du code HTML dangereux. Un module que vous pouvez utiliser pour désinfecter le code HTML que les utilisateurs téléchargent est ‘HTMLLawed’. Le module permet de définir des politiques et des normes pour la sécurité et offre de riches options configurables en termes de types de HTML que les utilisateurs peuvent utiliser dans votre site Drupal. Téléchargez et installez ce module pour ajouter une autre couche de sécurité pour votre implémentation Drupal.

Duo Security — Module d’authentification à deux facteurs La vérification en deux étapes peut renforcer votre site Web Drupal en obligeant les utilisateurs à fournir deux méthodes (ou facteurs) d’informations qui vérifient leur identité.

L’ utilisation d’une vérification en deux étapes donne une couche supplémentaire de sécurité à votre site Web et l’activation de ce module garantit que la personne accédant à votre site Drupal est celle qu’elle prétendent être. Les utilisateurs peuvent fournir une combinaison de nom d’utilisateur et de mot de passe et sont obligés de fournir un jeton ou un identifiant unique à partir d’une application de smartphone pour approuver les demandes d’authentification.

Vous pouvez en savoir plus sur ce module et le télécharger ici : https://www.drupal.org/project/duo.

Module Paranoïa Ce module vise à identifier tous les place qu’un utilisateur peut évaluer les scripts PHP via l’interface web de Drupal, puis les bloque et contient les fonctionnalités suivantes :

  • Désactiver l’autorisation « Utiliser PHP pour la visibilité du bloc »
  • Désactiver la modification du compte utilisateur # 1
  • Évite de donner des autorisations risquées
  • Désactive la création de formats PHP utilisant le filtre PHP

Le module Paranoia fournit une sécurité supplémentaire à Drupal en réduisant la possibilité que les pirates puissent s’accorder des autorisations élevées sur votre site.

En savoir plus sur ce module ici.

Enfin

Après avoir installé et configuré certains des modules dont nous venons de discuter, prenez le temps d’effectuer un audit de votre infrastructure existante, de vos stratégies de mot de passe et de vos calendriers de sauvegarde de base de données. Dans cette section, nous avons rassemblé quelques conseils finaux et bien que tous ne soient pas spécifiques à Drupal, ce sont certaines idées que vous devriez envisager de mettre en œuvre pour améliorer encore la sécurité de votre site Web Drupal.

Utiliser des mots de passe complexes Appliquez une stratégie de mot de passe pour votre site Drupal avec des noms d’utilisateur et des mots de passe forts. Le choix d’un mot de passe complexe constitue une couche protectrice qui sauve votre site Web des pirates informatiques.

Les pirates peuvent créer des robots fonctionnant 24×7, qui essaient constamment d’explorer Internet et de trouver des failles de sécurité telles que les tentatives de connexion forçant brutalement avec des mots de passe admin par défaut. Vous pouvez atténuer ce risque en implémentant une stratégie de mot de passe qui impose l’utilisation de mots de passe complexes.

Utiliser des connexions sécurisées Assurez-vous que les connexions que vous utilisez sont sécurisées quel que soit l’endroit où vous travaillez. Vous devez utiliser le « cryptage SFTP » (Secure FTP).

Remarque : Quelques clients FTP enregistrent des mots de passe codés sur vos systèmes. Certains mots de passe encodés peuvent être reconvertis dans leur forme originale. Il est recommandé que les utilisateurs n’enregistrent pas FTP dans les clients ou évitez de configurer les mots de passe principaux. Il est également important de s’assurer que les règles de pare-feu sont configurées à la maison et sur vos routeurs. Notez qu’il ne s’agit pas de réseaux fiables lorsqu’ils travaillent dans un lieu public.

Certificats HTTPS et SSL Cela doit être configuré sur le commerce électronique ou tout autre site Web contenant des informations critiques ou sensibles. SSL ou Secure Sockets Layer, pour donner son nom complet aide à crypter la communication entre le navigateur Web de l’utilisateur et votre site Web Drupal.

Vous pourriez ne pas penser que vous avez besoin de chiffrer des billets de blog ou du contenu sur votre site Drupal et vous pourriez avoir un point, cela dit, vous pourriez envisager d’installer un module e-commerce tel que Drupal Commerce et si c’est le cas, vous devriez certainement installer un certificat SSL sur votre site Drupal.

Planification de la pire situation avec la sauvegarde et la migration Voulez-vous que vos données soient exploitées par des pirates ? Bien sûr que non ! Cependant, il est important de planifier la pire situation possible et effectuer des sauvegardes régulières de base de données devrait faire partie de cette stratégie.

Si votre base de données est compromise ou pire, complètement effacée, à condition que vous ayez des sauvegardes régulières, vous serez en mesure de remettre votre site en ligne avec une perte de données minimale.

« Sauvegarder et migrer » est un module qui vous aide à créer et restaurer des sauvegardes de données avec une relative facilité et prend en charge les formats d’archivage tels que gzip, bzip et zip. Le module vous permet de sauvegarder tout ou partie des tables de base de données dans un fichier que vous pouvez télécharger ou sur un serveur si vous le souhaitez. Des calendriers de sauvegarde sont également disponibles dans le module pour vous aider à mettre une partie de ces éléments sur le pilote automatique.

Restreindre l’accès aux fichiers importants sur votre serveur Web Un autre mécanisme de sécurité que vous pouvez déployer consiste à restreindre ou bloquer l’accès aux fichiers importants sur votre serveur Web via le fichier de configuration « .htaccess ».

Il s’agit d’un fichier que vous pouvez modifier avec qui indiquent à votre implémentation Drupal comment gérer des types spécifiques de fichiers et les commandes pouvant être exécutées contre eux, telles que l’octroi ou le refus d’accès.

Les commandes de votre fichier .htaccess affectent le contenu du répertoire dans lequel ce fichier est créé. Cela signifie que vous pouvez créer plusieurs instances de .htaccess pour répondre à vos exigences de sécurité sur une base par répertoire. Considérez l’exemple suivant de fichier .htaccess :

Order autoriser, refuser Autoriser de tous

Cela dit à Drupal d’accorder l’accès au fichier robots.txt à TOUS les visiteurs du site Web, ce qui est essentiel pour tous les sites Web car vous ne voulez pas refuser l’accès à cela ! Vous pouvez également refuser l’accès à des fichiers de configuration spécifiques, sauf aux utilisateurs administrateurs qui se trouvent localement sur le serveur Web. Une commande similaire à la suivante peut atteindre ceci :

Order refuser, autoriser Refuser de tous Autoriser à partir de 127.0.0.1 Autoriser à partir de 123.123.123.123

Modules et points d’accès non nécessaires Installez uniquement les modules que vous prévoyez d’exécuter sur votre site Drupal. Le fait d’avoir moins de fonctionnalités ou de modules sur votre site signifie que vous avez en fin de compte moins de choses à protéger contre les vulnérabilités. S’il y a un module qui n’est pas nécessaire par vous, supprimez-le.

Une autre précaution à prendre est de restreindre l’accès de l’administrateur à votre site Drupal en fonction de l’adresse IP des utilisateurs. La majorité des entreprises ont des adresses IP statiques qui se trouvent dans un sous-réseau ou une plage particulière, envisagez de restreindre les connexions à votre console d’administration Drupal en fonction d’une plage particulière d’adresses IP. Si les employés doivent accéder à la console d’administration externe, vous pouvez également envisager un VPN.

Accès utilisateur sensible Vous pourriez ont plusieurs connexions à votre site si oui, déterminez les types de rôles et les autorisations associées que chaque utilisateur doit posséder.

Implémentez une stratégie de « privilège minimum » pour garantir que les utilisateurs n’ont l’autorisation d’exécuter que les fonctionnalités nécessaires à leur ensemble de responsabilités. Par exemple, si un collègue est chargé d’écrire des billets de blog, assurez-vous que son compte ne dispose pas des privilèges d’administrateur complets. Le compte de votre collègue doit uniquement lui permettre de créer ou de modifier des blogs et il n’est pas nécessaire qu’ils aient accès à la mise à jour des paramètres administratifs de votre site Drupal.

Le fait d’ avoir un accès soigneusement défini réduira les erreurs qui peuvent être commises et limitera les dommages qui peuvent être causés par les utilisateurs « voyous ».

Supprimer les portes arrière cachées Les pirates font de leur mieux pour trouver un moyen d’accéder à votre site Web. Il peut y avoir plusieurs nombres de portes arrière de différents types qui peuvent être facilement exploitées par eux. Ces portes dérobées peuvent être dans le forme de fichiers légitimes dans le cadre officiel de Drupal mais situés dans les mauvais répertoires.

attaquants peuvent injecter des logiciels tels que des virus via des portes dérobées et des répertoires comme « /modules, /themes, /sites/all/modules et/sites/all/themes. ». Les fonctions PHP courantes dans lesquelles les backdoors peuvent être injectées peuvent inclure, mais ne sont pas limitées à ce qui suit : Les

  • str_rot13
  • gzuncompress
  • gzinflate
  • Eval
  • exec
  • create_fonction
  • href
  • curl_exec
  • flux

Identifiez si vous avez des défauts de sécurité potentiels ou des correctifs à installer pour l’un des éléments ci-dessus afin d’atténuer ce risque.

Vérifiez vos sources Lors de la sélection d’un thème ou d’un module Drupal, passez un certain temps à vérifier la société ou le développeur qui a écrit ledit thème/module sont professionnels. Seuls les modules qui sont maintenus et pris en charge régulièrement et qui répondent à votre exigences. Ne téléchargez pas de thèmes aléatoires disponibles sur Internet. Utilisez uniquement choisir les thèmes qui appartiennent à la bibliothèque Drupal Download and Extend et qui ont été maintenus récemment.

Résumé

Donc, là vous l’avez, comment protéger votre site web Drupal. Dans cet article, nous avons exploré à quel point Drupal peut être vulnérable, quelles sont certaines de ses fonctionnalités de sécurité existantes et des conseils détaillés qui vous montrent comment protéger au mieux votre site Web Drupal.

Nous espérons qu’en lisant cet article, vous aurez acquis des informations et des conseils précieux sur la façon de protéger votre site Web Drupal contre les pirates sans scrupules. N’hésitez pas à partager ou commenter cet article. Utilisez-vous Drupal dans votre entreprise ? Quelles mesures de sécurité avez-vous mises en œuvre ?

Références Jackson, B. (2018). Guide complet sur la sécurité Drupal. Blog KeyCDN. Extrait le 2 février 2018, de https://www.keycdn.com/blog/drupal-security/

Foire aux questions

Comment protéger mon site Web ?Questions

Il existe une variété de méthodes et d’applications qui peuvent vous aider à protéger votre site Web contre les attaques. Un exemple est Drupal, qui est une application de sécurité très appréciée. S’assurer que vos développeurs écrivent du code sans bogue est un autre exemple.

jour de sécurité Drupal : comment installer ? Mises à

Vous devez activer le module gestionnaire de mises à jour avant de naviguer vers /admin/reports/status. Vous serez alors informé s’il y a de nouvelles mises à jour que vous pourrez alors choisir d’installer.

Comment ajouter un certificat de sécurité dans Drupal ?

Vous devez obtenir un CERTIFICAT (SSL), configurer le serveur, activer SSL, puis terminer l’installation.