5 Modules de sécurité Drupal que vous devez utiliser

Dernière mise à jour le 12 Fév 2023
5 Modules de sécurité Drupal que vous devez utiliser
Avec les intrus, les voleurs, les pirates et les spammeurs qui sont prêts à perpétuer des menaces pour la plupart des entreprises en ligne, la sécurité virtuelle est certainement la principale préoccupation sur le web d’aujourd’hui que l’entreprise devrait se concentrer. Bien qu’il existe plusieurs centaines de CMS qui fournissent des plates-formes numériques, Drupal est considéré comme l’une des meilleures plates-formes sécurisées qui peut parfaitement répondre aux besoins de sécurité de l’entreprise. Savez-vous ce qui rend Drupal un « système de gestion de contenu crédible » ? Il est soutenu par certains modules et thèmes phénoménaux, ce grand CMS est tenu par une communauté de développeurs dédiée. Contrairement à d’autres systèmes de gestion de contenu, Drupal offre les mises à jour de sécurité les plus cohérentes, en gardant les chances de risque aussi minimes que possible. Toutefois, si vous utilisez déjà Drupal, alors il est nécessaire de garder votre site bien sécurisé avec les « modules de sécurité » suivants:

Ici, nous avons listé les 5 meilleurs Modules de sécurité que chaque site Drupal doit inclure:

1) Password Policy

pp2.jpgUsage: Password Policy est utilisé par plus que 20 000 sites. Le module a été téléchargé plus de 260 mille fois.

Selon les statistiques et le rapport d’enquête de Verizon Breach pour l’année 2013, 4 sur 5 violations de données se produisent suite à des certificats exploités ou volés.

Ce module permet de mettre en place une définition des politiques de mot de passe de votre site Web. Cela est rendu possible à l’aide du module « Password Policy » qui apporte un ensemble de contraintes qui sont mis en œuvre juste avant que le site Web accepte les modifications du mot de passe d’un utilisateur. Avec chaque contrainte, le module possède des paramètres prédéfinis qui doivent être satisfaits pour valider les conditions. Password Policy a récemment mis à jour une nouvelle version pour Drupal 8, présentant les contraintes comme des plugins. En dehors de cela, le module est livré avec une fonction d’expiration du mot de passe qui peut obliger un utilisateur a changer le mot de passe, et sera éventuellement bloqué lors de l’expiration de l’ancien mot de passe.

Fonctionnalités: Le module définit une politique crédible pour les mots de passe, des processus de contrôle par des contraintes lors que le mot de passe est généré. Avec le module Password Policy, vous pouvez également contrôler la structure du mot de passe en termes de longueur, la capitalisation, le caractère unique, le nombre, la réutilisation des mots de passe, et ainsi de suite.

2) Kit de sécurité

pp3.jpg

Usage: Actuellement, environ 11 000 sites utilisent le Kit de sécurité comme un module fiable et facile à utiliser. Le module a rapporté plus de 143 mille téléchargements.

Selon le rapport annuel « Statistiques de sécurité Site Web 2012 », Whitehat a identifié cross-site scripting et cross-site request comme deux vulnérabilités les plus répandues?

Le module promet la sécurité dans quatre grandes catégories: cross-site scripting, cross-site request forgery, clickjacking et SSL/TLS Cross-site scripting. Le module sauvegarde les politiques de contenu, la manipulation des rapports du navigateur et la gestion de la violation. Grâce à cross-site request forgery, vous pouvez contrôler l’origine des demandes de l’en-tête HTTP. De même, Clickjacking travaille sur la mise en œuvre des réponses header et Javascript Frame-Options X réponse HTTP (couplé avec CSS et protection Noscript et le texte personnalisé pour désactiver le message JavaScript). Enfin le SSL / TLS gère la mise en œuvre des réponses header du HTTP Strict Transport Security (HSTS). Avec cela, vous pouvez tout simplement empêcher le rôle d’intermédiaire et éventuellement contrôler les attaques potentielles.

Fonctionnalités: Le Kit de sécurité apporte les meilleures options de sécurité, un durcissement que vous pouvez utiliser sur votre site ! Le module Kit de sécurité permet la bonne garde en réduisant les risques d’exploitation des différentes vulnérabilités des applications web.

3) Security Review

pp4.jpg

Usage: Environ 34 000 sites utilisent ce module, il a été téléchargé plus que 270 mille fois.

Votre site pourrait faire facilement quelques erreurs stupides qui pourraient être un peu gênantes parfois. Ne vous inquiétez pas et évitez l’humiliation de faire des erreurs stupides dans votre site web Drupal à l’aide du module Security Review.
Comment ça marche ? Eh bien, le module Security Review automatise le processus de test d’un site web de la manière la plus simple. Il est rapide et facile à mettre en œuvre. Vous pouvez vérifier l’autorisation du fichier système en toute sécurité et limite l’exécution d’un code arbitraire. Le module protège un site contre les balises XSS dangereuses disponibles dans les formats de texte. Il permet la sécurité lors de la déclaration des erreurs, évite la divulgation des informations inutiles, promet la sécurité des fichiers personnels privés, permet le téléchargement facile et sûr des extensions, et vérifie la grande base de données pour une utilisation sans erreur. De plus, vous pouvez avoir un administrateur Drupal comme une permission pour protéger votre site contre toute forme de malveillance ou de mauvaise configuration.

Fonctionnalités: Security Review n’ajoute pas des modifications automatiques à votre site web, que si la liste de contrôle et ses ressources seront sécurisées manuellement. Le module est disponible aussi pour la dernière interface Drupal 8.

4) Username Enumeration Prevention

Usage: Le module a été utilisé par plus que 7 000 sites , et a été téléchargé par près de 29 mille utilisateurs Drupal.

Bien que Drupal est une interface tout à fait sécurisée, il y a toujour un risque d’exploiter une éventuelle faille dans le CMS, en particulier pour Drupal 6. Drupal 6 ne n’a pas la fonctionnalité de prévention de la force brute, il rend le site vulnérable pour le piratage facile à travers juste un nom d’utilisateur. Cela signifie q’un pirate peut facilement attaquer un site via un nom d’utilisateur, suivie par hack à la Brute Force. La meilleure pratique de sécurité est de garder les noms d’utilisateur protégés. Et ceci est exactement ce que fait Username Enumeration Prévention, vous pouvez créer des noms d’utilisateur difficiles à trouver pour le pirate. La technique « username énumération » peut permettre à un attaquant de trouver les noms d’utilisateur en utilisant le « mot de passe oublié ». En ajoutant simplement le nom d’utilisateur qui n’existe pas en réel, l’attaquant obtiendra la réponse de Drupal. Un attaquant peut ainsi suivre un processus simple pour continuer à essayer différents noms d’utilisateur sur le « mot de passe oublié » jusqu’à ce qu’il trouve un nom d’utilisateur valide. Avec l’activation de ce module, l’attaquant sera redirigé vers le formulaire de connexion, tandis que le message d’erreur remplacera également le message de prévisualisation. Il fonctionne en remplaçant le message qui apparaît à l’utilisateur lors de la demande d’un nouveau mot de passe à quelque chose de plus ambigu au lieu d’indiquer que l’utilisateur existe ou non, ce qui permet à l’attaquant de comprendre le nom d’utilisateur par l’intermédiaire du message d’état qui apparaît.

Fonctionnalités: Le Username Enumeration Prevention est un bon moyen pour sécuriser les noms d’utilisateurs de votre site web. Le module désactive simplement le message d’état qui pourrait laisser l’attaquant de savoir qu’un nom d’utilisateur existe grâce à la fonction « Demander un nouveau mot de passe ».

5) Generate Password

pp5.jpg

Usage: Presque 6 000 sites utilisent actuellement le module Generate Password. Le module a été téléchargé presque 32 mille fois.

Le module Generate Password fonctionne de façon simple. Il rend le champ de mot de passe optionnel ou plutôt caché sur la nouvelle page d’inscription de l’utilisateur, de sorte que lorsque le mot de passe ne soit pas remplis au cours du processus d’inscription et le système généré un mot de passe générique. En tant qu’administrateur, vous pouvez éventuellement choisir d’afficher ce mot de passe au moment où il est créé dans le processus d’inscription. Comment ça marche? Pour les paramètres de configuration, il suffit de visiter les paramètres de compte de la page d’utilisateur et modifier le comportement de la génération de mot de passe.

Fonctionnalités: Personnaliser la structure de génération de mot de passe comme la longueur, génération entropie, la nature des caractères (majuscules, caractères spéciaux et chiffres), l’algorithme de mot de passe, et l’affichage du mot de passe selon vos besoins.

En bonus

Il existe aussi des service externes qui permetent de protéger votre site contre les attaques de robots, comme Securi ou SiteLock qui proposent un scanneur de scripts si votre site est déja infecté, vous leurs fournissez vos accés FTP et leurs robots se chargent de scanner votre site et de vous alerter au cas où ils trouvent des anomalies.
Il y a aussi WR Protect, ils ont un systéme interessant qui permet de bloquer les attaques à la source avant que les attaques arrivent sur votre site et l’alourdisse. Il y a un systéme perfectionné de lanceurs d’alertes et d’intelligenace artificielle, c’est une sorte de Firewall couplé à un Antivirus et combiné avec un systéme d’analyse en temps réel de tous ses utilisateurs.

Comme mentionné, la sécurité de votre Site web est très importante, il ne faut pas oublier de surveiller votre site régulièrement. Nous espérons que cet article permettra de résoudre certains de vos problèmes de sécurité liés au développement Drupal. Si vous conaissez d’autres modules de sécurité Drupal, partagez-les avec nous dans les commentaires.

Cet article est inspiré de la version anglaise de notre partenaire Vardot accessible ici.

Excellent
Basée sur 20 avis
Sami Yassine Turki
Sami Yassine Turki
J'ai eu un plaisir à travailler, en tant que secrétaire général de l'association Lina Ben Mhenni, avec l'agence AURONE qui a assuré avec beaucoup de professionnalisme le développement de notre site web.
Gwladys Lavergne
Gwladys Lavergne
Réactifs, attentifs, et très compétents nous sommes ravies de travailler avec Aurone qui sait parfaitement répondre à nos attentes que ce soit en terme de design graphique ou bien dans leurs compétences techniques ! Je recommande vivement leur accompagnement !
Perrine Amal
Perrine Amal
Aurone est une entreprise humaine, réactive et efficace. Travaux réalisés rapidement et avec célérité. Je recommande vivement et espère poursuivre cette collaboration à l'avenir.
Stephanie Willman
Stephanie Willman
Nous travaillons avec Aurone dans le cadre de notre travail depuis 2016 et en sommes ravies. Au début nous avons commencer à solliciter leurs services pour un projet en Tunisie, et la qualité de leur travail a fait que nous sollicitons Aurone même pour des services dans d'autres pays. L'équipe est dynamique, créative, réactive et enthousiaste. Ils ont toujours bien compris nos besoins pour nos diverses et complexes présences web, et font de leur mieux pour y répondre. Plateformes web, ateliers de formation sur les plateformes, vidéos tutoriels, et conception graphique de divers produits ne sont que quelques uns des excellentes services fournies par Aurone. La qualité technique des prestations web sont top et nous recevons toujours de bons conseils que ce soit au niveau technique que graphique. Nous les recommandons fortement.
Raphaël Gianasso
Raphaël Gianasso
Pour vos projets e-commerce et marketing digital, les collaborateurs d'Aurone font preuve d'écoute, d'expérience, de disponibilité et de réactivité. Une équipe sur laquelle on peut compter et pour laquelle la satisfaction du client est primordiale
Samuel Dechomets
Samuel Dechomets
J'ai trouvé chez Aurone tout ce que l'on peut attendre d'une bonne agence web : qualité, réactivité, souplesse, pertinence... Bravo et merci
Karim Djebbar
Karim Djebbar
L'ensemble de notre réseau a travaillé pendant plusieurs années avec l'agence Aurone. Quelques réglages ont été nécessaires au début de notre partenariat à l'époque. La qualité a rapidement été au rendez-vous. Les équipes ont travaillé de façon très professionnelle, et adaptée aux exigences de la clientèle française avec qui nous les avons rapidement mis en relation. Beaucoup d'agilité de la part de son fondateur. Merci pour ces belles années !
chedlia by
chedlia by
Equipe très réactive et professionnelle qui n'hésite pas à apporter son conseil et support.
Mehdi Gharbi
Mehdi Gharbi
Excellent service clé en main. Aurone m'a fait un site web parmi les meilleurs sur le marché et continu à travailler sur le référencement, le suivi du site, analyse etc... Excellent service et une réactivité hors norme. Je recommande vivement

    En Tunisie

    27 Avenue Taieb Mhiri
    Immeuble Yasmina, bureau 17
    2080 Ariana, Tunis, Tunisie

    +216 22 774 450

    En France

    Centre d'affaires TODA 2
    Rue du Rhin Napoléon
    67100 Strasbourg, France

    +33 9 80 80 10 18

    En Suisse

    Rue du Port Franc, 2A
    1003 Lausanne
    Suisse

     [email protected]

    En Belgique

    Avenue Mutsaard, 41
    1020 Bruxelles
    Belgique

    +32 2 588 07 54

    Aurone Création de site Internet & e-Commerce

    Réalisé avec à Tunis | Copyright © 2007-2022 Aurone

      Téléchargement du module

      Laissez-nous votre prénom et votre adresse de courriel pour vous envoyer le module par courriel:

      Nous ne spammons jamais et nous ne vendons ou prêtons jamais nos listes de courriels.


        Pssssst Attendez...

        Laissez nous votre meilleure adresse email et vous recevrez le premier nos prochaines publications...

        Nous ne spammons jamais et nous ne vendons ou prêtons jamais nos listes de courriels.


          Recevoir chaque semaine notre publication en avant première.

          Rejoignez nos 153 845 fidèles lecteurs et restez informés concernant le domaine du développement web, en étant le premier à recevoir notre publication chaque semaine.

          Nous ne spammons jamais et nous ne vendons ou prêtons jamais nos listes de courriels.