7 stratégies de sécurité Drupal à mettre en œuvre immédiatement ! (Comprend les meilleurs modules de sécurité Drupal 9)
Publié: 2022-12-13La sécurité du site Web n'est pas un objectif ponctuel, mais un processus continu qui nécessite une attention constante. Il est toujours préférable de prévenir une catastrophe que d'y répondre. Avec un site Web Drupal, vous pouvez être sûr que l'équipe de sécurité Drupal résoudra les problèmes de sécurité signalés.
Drupal a alimenté des millions de sites Web, dont beaucoup traitent des données extrêmement critiques. Sans surprise, Drupal a été le CMS de choix pour les sites Web qui gèrent des informations critiques comme les sites Web gouvernementaux, les institutions bancaires et financières, les magasins de commerce électronique, etc. ).
Cependant, il vous incombe en fin de compte de vous assurer que votre site Web est sécurisé en suivant les meilleures pratiques de sécurité et en mettant en œuvre des stratégies de sécurité en constante évolution. Lisez la suite pour savoir comment.
Vulnérabilités de sécurité Drupal
Il va sans dire que la communauté prend très au sérieux la sécurité dans Drupal et continue de publier des mises à jour/correctifs de sécurité Drupal. L'équipe de sécurité Drupal est toujours proactive et prête avec des correctifs avant même qu'une vulnérabilité ne soit rendue publique. Par exemple, l'équipe de sécurité Drupal a publié la mise à jour de la vulnérabilité de sécurité - SA-CORE-2018-002 jours avant qu'elle ne soit réellement exploitée (Drupalgeddon2). Des correctifs et des mises à jour de sécurité Drupal ont été rapidement publiés, conseillant aux administrateurs du site Drupal de mettre à jour leurs sites Web.
Citant Dries sur l'un de ses blogs sur la vulnérabilité de sécurité - "L'équipe de sécurité Drupal suit une "politique de divulgation coordonnée": les problèmes restent privés jusqu'à ce qu'un correctif soit publié. Une annonce publique est faite lorsque la menace a été traitée et une version sécurisée du noyau Drupal est également disponible. Même lorsqu'un correctif de bogue est mis à disposition, l'équipe de sécurité Drupal est très réfléchie dans sa communication.“
Quelques informations intéressantes sur les statistiques de vulnérabilité de Drupal par CVE Details :
1. Restez calme et restez à jour - Mises à jour de sécurité Drupal
L'équipe de sécurité Drupal est toujours à l'affût des vulnérabilités. Les correctifs / mises à jour de sécurité Drupal sont immédiatement publiés dès qu'ils en trouvent un. Aussi, après Drupal 8 et l'adoption de l'innovation continue, les versions mineures sont plus fréquentes. Cela a conduit à des mises à jour Drupal faciles et rapides d'une version meilleure et plus sécurisée.
S'assurer que votre version et vos modules Drupal sont à jour est vraiment le moins que vous puissiez faire pour assurer la sécurité de votre site Web. Les contributeurs de Drupal restent au fait des choses et sont toujours à la recherche de toute menace de sécurité qui pourrait être catastrophique. Les mises à jour Drupal ne viennent pas seulement avec de nouvelles fonctionnalités, mais aussi des correctifs de sécurité et des corrections de bogues. Les mises à jour et les annonces de sécurité Drupal sont publiées sur les e-mails des utilisateurs et les administrateurs du site doivent maintenir leurs versions à jour pour assurer la sécurité.
2. Administrez vos entrées
Les sites Web interactifs recueillent généralement les commentaires des utilisateurs. En tant qu'administrateurs de site Web, à moins que vous ne gériez et ne gériez ces entrées de manière appropriée, votre site Web présente un risque de sécurité élevé. Les pirates peuvent injecter des codes SQL qui peuvent causer de graves dommages aux données de votre site Web.
Empêcher vos utilisateurs de saisir des mots spécifiques à SQL tels que "SELECT", "DROP" ou "DELETE" pourrait nuire à l'expérience utilisateur de votre site Web. Au lieu de cela, avec la sécurité dans Drupal, vous pouvez utiliser les fonctions d'échappement ou de filtrage disponibles dans l'API de base de données pour supprimer et filtrer ces injections SQL nuisibles. La désinfection de votre code est l'étape la plus cruciale vers un site Web Drupal sécurisé.
3. Sécurité Drupal 9
Comment Drupal 9 aide-t-il à créer un site Web plus robuste et sécurisé ?
- Symfony - Avec Drupal 9 adoptant le framework Symfony, il a ouvert les portes à beaucoup plus de développeurs que de les limiter aux seuls développeurs principaux de Drupal. Non seulement Symfony est un framework plus sécurisé, mais il a également attiré plus de développeurs avec des idées différentes pour corriger les bogues et créer des correctifs de sécurité.
- Twig Templates - Comme nous venons de discuter de la désinfection de votre code pour mieux gérer les entrées, voici pour vous dire qu'avec Drupal, cela a déjà été pris en charge. Comment? Grâce à l'adoption par Drupal 9 de Twig comme moteur de template. Avec Twig, vous n'aurez pas besoin de filtrage supplémentaire ni d'échappement des entrées car il est automatiquement nettoyé. De plus, l'application par Twig de couches séparées entre la logique et la présentation rend impossible l'exécution de requêtes SQL ou l'utilisation abusive de la couche de thème.
- WYSIWYG plus sécurisé - L'éditeur WYSIWYG de Drupal est un excellent outil d'édition pour les utilisateurs, mais il peut également être utilisé à mauvais escient pour mener des attaques telles que les attaques XSS. Avec Drupal 9 suivant les meilleures pratiques de sécurité Drupal, il permet désormais d'utiliser uniquement des formats HTML filtrés. De plus, pour empêcher les utilisateurs d'utiliser les images à mauvais escient et pour empêcher le CSRF (cross-site request forgery), le filtrage de texte de base de Drupal permet aux utilisateurs d'utiliser uniquement des images locales.
- L'initiative de gestion de la configuration (CMI) - Cette initiative Drupal fonctionne très bien pour les administrateurs et les propriétaires de sites car elle leur permet de suivre la configuration dans le code. Toute modification de la configuration du site sera suivie et auditée, permettant un contrôle strict de la configuration du site Web.
4. Choisissez judicieusement vos modules Drupal
Avant d'installer un module, assurez-vous de vérifier son niveau d'activité. Les développeurs de modules sont-ils suffisamment actifs ? Publient-ils souvent des mises à jour de sécurité Drupal ? A-t-il déjà été téléchargé ou êtes-vous le premier bouc émissaire ? Vous trouverez tous les détails mentionnés au bas de la page de téléchargement des modules. Assurez-vous également que vos modules sont mis à jour et désinstallez ceux que vous n'utilisez plus.
5. Les modules de sécurité Drupal à la rescousse
Tout comme les vêtements en couches fonctionnent mieux qu'un pull épais pour rester au chaud pendant l'hiver, votre site Web est mieux protégé dans une approche en couches. Les modules de sécurité Drupal peuvent donner à votre site Web une couche de sécurité supplémentaire autour de lui.
Mises à jour automatiques
Il s'agit actuellement d'un module contribué, mais il sera bientôt intégré au cœur de Drupal 10. L'objectif de l'initiative de mises à jour automatiques est de fournir un moyen simple, sûr et sécurisé de mettre à jour automatiquement un site Web Drupal. Il aide à mettre à jour automatiquement votre site avec les correctifs principaux et les versions de sécurité. Tous les problèmes pendant le processus de mise à jour sont détectés et signalés afin que vous n'ayez pas à le découvrir plus tard.
Sécurité de connexion
Ce module assure la sécurité dans Drupal en permettant à l'administrateur du site d'ajouter diverses restrictions sur la connexion des utilisateurs. Le module de sécurité de connexion Drupal peut limiter le nombre de tentatives de connexion invalides avant de bloquer les comptes. L'accès peut être refusé pour les adresses IP de manière temporaire ou permanente.
Authentification à deux facteurs
Avec ce module de sécurité Drupal, vous pouvez ajouter une couche supplémentaire d'authentification une fois que votre utilisateur se connecte avec un identifiant et un mot de passe. Comme entrer un code qui a été envoyé sur leur téléphone portable.
Politique de mot de passe
Il s'agit d'un excellent module de sécurité Drupal qui vous permet d'ajouter une autre couche de sécurité à vos formulaires de connexion, empêchant ainsi les bots et autres failles de sécurité. Il applique certaines restrictions sur les mots de passe des utilisateurs - comme des contraintes sur la longueur, le type de caractère, la casse (majuscules/minuscules), la ponctuation, etc. Il oblige également les utilisateurs à changer régulièrement leurs mots de passe (fonctionnalité d'expiration du mot de passe).
Prévention de l'énumération du nom d'utilisateur
Par défaut, Drupal vous permet de savoir si le nom d'utilisateur saisi n'existe pas ou existe (si d'autres identifiants sont erronés). Cela peut être très utile si un pirate essaie d'entrer des noms d'utilisateur aléatoires uniquement pour en découvrir un qui est réellement valide. Ce module active la sécurité dans Drupal et empêche de telles attaques en modifiant le message d'erreur standard.
Accès au contenu
Comme son nom l'indique, ce module vous permet de donner un contrôle d'accès plus détaillé à votre contenu. Chaque type de contenu peut être spécifié avec des autorisations personnalisées d'affichage, de modification ou de suppression. Vous pouvez gérer les autorisations pour les types de contenu par rôle et auteur.
Trousse de sécurité
Ce module de sécurité Drupal offre de nombreuses fonctionnalités de gestion des risques. Les vulnérabilités telles que les scripts intersites (ou sniffing), CSRF, Clickjacking, les attaques d'écoute clandestine, etc. peuvent être facilement gérées et atténuées avec ce module de sécurité Drupal 9.
Captcha
Même si nous détestons prouver notre humanité, CAPTCHA est probablement l'un des meilleurs modules de sécurité Drupal pour filtrer les spambots indésirables. Ce module Drupal empêche les soumissions de scripts automatisés par les robots spammeurs et peut être utilisé dans n'importe quel formulaire Web d'un site Web Drupal
6. Vérifiez vos autorisations
Drupal vous permet d'avoir plusieurs rôles et utilisateurs tels que des administrateurs, des utilisateurs authentifiés, des utilisateurs anonymes, des éditeurs, etc. Afin d'affiner la sécurité de votre site Web, chacun de ces rôles doit être autorisé à effectuer uniquement un certain type de travail. Par exemple, un utilisateur anonyme doit recevoir le moins d'autorisations, comme l'affichage du contenu uniquement. Une fois que vous avez installé Drupal et/ou ajouté d'autres modules, n'oubliez pas d'attribuer et d'accorder manuellement les autorisations d'accès à chaque rôle.
7. Obtenez HTTPS
Je parie que vous saviez déjà que tout trafic transmis via un simple HTTP pouvait être espionné et enregistré par presque n'importe qui. Des informations telles que votre identifiant de connexion, votre mot de passe et d'autres informations de session peuvent être saisies et exploitées par un attaquant. Si vous avez un site Web de commerce électronique, cela devient encore plus critique car il traite du paiement et des données personnelles. L'installation d'un certificat SSL sur votre serveur sécurisera la connexion entre l'utilisateur et le serveur en cryptant les données transférées. Un site Web HTTPS peut également améliorer votre classement SEO, ce qui en vaut vraiment la peine.
Dernières pensées
Comme le dit le vieil adage - Attendez-vous au meilleur mais prévoyez le pire. Par défaut, Drupal est un cadre de gestion de contenu très sécurisé, mais vous devrez toujours mettre en œuvre des stratégies de sécurité et suivre les meilleures pratiques de sécurité Drupal pour une bonne nuit de sommeil. Drupal 9 apporte un tout nouveau groupe de fonctionnalités de sécurité pour un site Web plus robuste et sécurisé. Néanmoins, il est indispensable de maintenir votre site Web à jour avec les mises à jour de sécurité Drupal. L'écriture de code propre et sécurisé joue un rôle important dans la sécurité de votre site Web. Choisissez une agence de développement Drupal experte qui peut vous fournir des stratégies de sécurité efficaces et des services de mise en œuvre.
Vous avez trouvé cet article utile ? Voici une toute petite URL de cet article que vous pouvez copier, intégrer ou partager :
bit.ly/3UPJbap
Cliquez pour copier l'URL dans votre presse-papiers