5 Modules de sécurité Drupal que vous devez utiliser

Actualité publiée le 12/11/2019

5 Modules de sécurité Drupal que vous devez utiliser

Avec les intrus, les voleurs, les pirates et les spammeurs qui sont prêts à perpétuer des menaces pour la plupart des entreprises en ligne, la sécurité virtuelle est certainement la principale préoccupation sur le web d’aujourd’hui que l’entreprise devrait se concentrer. Bien qu’il existe plusieurs centaines de CMS qui fournissent des plates-formes numériques, Drupal est considéré comme l’une des meilleures plates-formes sécurisées qui peut parfaitement répondre aux besoins de sécurité de l’entreprise.

Savez-vous ce qui rend Drupal un “système de gestion de contenu crédible” ? Il est soutenu par certains modules et thèmes phénoménaux, ce grand CMS est tenu par une communauté de développeurs dédiée. Contrairement à d’autres systèmes de gestion de contenu, Drupal offre les mises à jour de sécurité les plus cohérentes, en gardant les chances de risque aussi minimes que possible. Toutefois, si vous utilisez déjà Drupal, alors il est nécessaire de garder votre site bien sécurisé avec les “modules de sécurité” suivants:

Ici, nous avons listé les 5 meilleurs Modules de sécurité que chaque site Drupal doit inclure:

1) Password Policy

pp2.jpgUsage: Password Policy est utilisé par plus que 20 000 sites. Le module a été téléchargé plus de 260 mille fois.

Selon les statistiques et le rapport d’enquête de Verizon Breach pour l’année 2013, 4 sur 5 violations de données se produisent suite à des certificats exploités ou volés.

Ce module permet de mettre en place une définition des politiques de mot de passe de votre site Web. Cela est rendu possible à l’aide du module “Password Policy” qui apporte un ensemble de contraintes qui sont mis en œuvre juste avant que le site Web accepte les modifications du mot de passe d’un utilisateur. Avec chaque contrainte, le module possède des paramètres prédéfinis qui doivent être satisfaits pour valider les conditions. Password Policy a récemment mis à jour une nouvelle version pour Drupal 8, présentant les contraintes comme des plugins. En dehors de cela, le module est livré avec une fonction d’expiration du mot de passe qui peut obliger un utilisateur a changer le mot de passe, et sera éventuellement bloqué lors de l’expiration de l’ancien mot de passe.

Fonctionnalités: Le module définit une politique crédible pour les mots de passe, des processus de contrôle par des contraintes lors que le mot de passe est généré. Avec le module Password Policy, vous pouvez également contrôler la structure du mot de passe en termes de longueur, la capitalisation, le caractère unique, le nombre, la réutilisation des mots de passe, et ainsi de suite.

2) Kit de sécurité

pp3.jpg

Usage: Actuellement, environ 11 000 sites utilisent le Kit de sécurité comme un module fiable et facile à utiliser. Le module a rapporté plus de 143 mille téléchargements.

Selon le rapport annuel “Statistiques de sécurité Site Web 2012”, Whitehat a identifié cross-site scripting et cross-site request comme deux vulnérabilités les plus répandues?

Le module promet la sécurité dans quatre grandes catégories: cross-site scripting, cross-site request forgery, clickjacking et SSL/TLS Cross-site scripting. Le module sauvegarde les politiques de contenu, la manipulation des rapports du navigateur et la gestion de la violation. Grâce à cross-site request forgery, vous pouvez contrôler l’origine des demandes de l’en-tête HTTP. De même, Clickjacking travaille sur la mise en œuvre des réponses header et Javascript Frame-Options X réponse HTTP (couplé avec CSS et protection Noscript et le texte personnalisé pour désactiver le message JavaScript). Enfin le SSL / TLS gère la mise en œuvre des réponses header du HTTP Strict Transport Security (HSTS). Avec cela, vous pouvez tout simplement empêcher le rôle d’intermédiaire et éventuellement contrôler les attaques potentielles.

Fonctionnalités: Le Kit de sécurité apporte les meilleures options de sécurité, un durcissement que vous pouvez utiliser sur votre site ! Le module Kit de sécurité permet la bonne garde en réduisant les risques d’exploitation des différentes vulnérabilités des applications web.

3) Security Review

pp4.jpg

Usage: Environ 34 000 sites utilisent ce module, il a été téléchargé plus que 270 mille fois.

Votre site pourrait faire facilement quelques erreurs stupides qui pourraient être un peu gênantes parfois. Ne vous inquiétez pas et évitez l’humiliation de faire des erreurs stupides dans votre site web Drupal à l’aide du module Security Review.
Comment ça marche ? Eh bien, le module Security Review automatise le processus de test d’un site web de la manière la plus simple. Il est rapide et facile à mettre en œuvre. Vous pouvez vérifier l’autorisation du fichier système en toute sécurité et limite l’exécution d’un code arbitraire. Le module protège un site contre les balises XSS dangereuses disponibles dans les formats de texte. Il permet la sécurité lors de la déclaration des erreurs, évite la divulgation des informations inutiles, promet la sécurité des fichiers personnels privés, permet le téléchargement facile et sûr des extensions, et vérifie la grande base de données pour une utilisation sans erreur. De plus, vous pouvez avoir un administrateur Drupal comme une permission pour protéger votre site contre toute forme de malveillance ou de mauvaise configuration.

Fonctionnalités: Security Review n’ajoute pas des modifications automatiques à votre site web, que si la liste de contrôle et ses ressources seront sécurisées manuellement. Le module est disponible aussi pour la dernière interface Drupal 8.

4) Username Enumeration Prevention

Usage: Le module a été utilisé par plus que 7 000 sites , et a été téléchargé par près de 29 mille utilisateurs Drupal.

Bien que Drupal est une interface tout à fait sécurisée, il y a toujour un risque d’exploiter une éventuelle faille dans le CMS, en particulier pour Drupal 6. Drupal 6 ne n’a pas la fonctionnalité de prévention de la force brute, il rend le site vulnérable pour le piratage facile à travers juste un nom d’utilisateur. Cela signifie q’un pirate peut facilement attaquer un site via un nom d’utilisateur, suivie par hack à la Brute Force. La meilleure pratique de sécurité est de garder les noms d’utilisateur protégés. Et ceci est exactement ce que fait Username Enumeration Prévention, vous pouvez créer des noms d’utilisateur difficiles à trouver pour le pirate. La technique “username énumération” peut permettre à un attaquant de trouver les noms d’utilisateur en utilisant le “mot de passe oublié”. En ajoutant simplement le nom d’utilisateur qui n’existe pas en réel, l’attaquant obtiendra la réponse de Drupal. Un attaquant peut ainsi suivre un processus simple pour continuer à essayer différents noms d’utilisateur sur le “mot de passe oublié” jusqu’à ce qu’il trouve un nom d’utilisateur valide. Avec l’activation de ce module, l’attaquant sera redirigé vers le formulaire de connexion, tandis que le message d’erreur remplacera également le message de prévisualisation. Il fonctionne en remplaçant le message qui apparaît à l’utilisateur lors de la demande d’un nouveau mot de passe à quelque chose de plus ambigu au lieu d’indiquer que l’utilisateur existe ou non, ce qui permet à l’attaquant de comprendre le nom d’utilisateur par l’intermédiaire du message d’état qui apparaît.

Fonctionnalités: Le Username Enumeration Prevention est un bon moyen pour sécuriser les noms d’utilisateurs de votre site web. Le module désactive simplement le message d’état qui pourrait laisser l’attaquant de savoir qu’un nom d’utilisateur existe grâce à la fonction “Demander un nouveau mot de passe”.

5) Generate Password

pp5.jpg

Usage: Presque 6 000 sites utilisent actuellement le module Generate Password. Le module a été téléchargé presque 32 mille fois.

Le module Generate Password fonctionne de façon simple. Il rend le champ de mot de passe optionnel ou plutôt caché sur la nouvelle page d’inscription de l’utilisateur, de sorte que lorsque le mot de passe ne soit pas remplis au cours du processus d’inscription et le système généré un mot de passe générique. En tant qu’administrateur, vous pouvez éventuellement choisir d’afficher ce mot de passe au moment où il est créé dans le processus d’inscription. Comment ça marche? Pour les paramètres de configuration, il suffit de visiter les paramètres de compte de la page d’utilisateur et modifier le comportement de la génération de mot de passe.

Fonctionnalités: Personnaliser la structure de génération de mot de passe comme la longueur, génération entropie, la nature des caractères (majuscules, caractères spéciaux et chiffres), l’algorithme de mot de passe, et l’affichage du mot de passe selon vos besoins.

En bonus

Il existe aussi des service externes qui permetent de protéger votre site contre les attaques de robots, comme Securi ou SiteLock qui proposent un scanneur de scripts si votre site est déja infecté, vous leurs fournissez vos accés FTP et leurs robots se chargent de scanner votre site et de vous alerter au cas où ils trouvent des anomalies.
Il y a aussi WR Protect, ils ont un systéme interessant qui permet de bloquer les attaques à la source avant que les attaques arrivent sur votre site et l’alourdisse. Il y a un systéme perfectionné de lanceurs d’alertes et d’intelligenace artificielle, c’est une sorte de Firewall couplé à un Antivirus et combiné avec un systéme d’analyse en temps réel de tous ses utilisateurs.

Comme mentionné, la sécurité de votre Site web est très importante, il ne faut pas oublier de surveiller votre site régulièrement. Nous espérons que cet article permettra de résoudre certains de vos problèmes de sécurité liés au développement Drupal. Si vous conaissez d’autres modules de sécurité Drupal, partagez-les avec nous dans les commentaires.

Cet article est inspiré de la version anglaise de notre partenaire Vardot accessible ici.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise des cookies afin de pouvoir vous fournir la meilleure expérience utilisateur possible. En continuant à naviguer sur ce site, vous acceptez l'utilisation de cookies.
En savoir plus

NEWSLETTER

Abonnez-vous à notre newsletter pour recevoir des mises à jour intéressantes!

Remplissez votre adresse e-mail et restez informé!

ABONNEZ-VOUS