Les 5 meilleurs modules de sécurité Drupal

Drupal.jpg

Drupal est un système de gestion de contenu réputé pour sa puissance, sa robustesse et sa flexibilité

. Il est à l’origine développé pour être un blog collectif mais a évolué grâce à des applications très variées : du site corporate au portail communautaire, son utilité est aujourd’hui donc vaste : un véritable couteau suisse ! Petite piqûre de rappel : ce CMS a étét créé dans les années 2000 par Dries Buyaert et connaît depuis un succès grandissant constant. Une communauté gigantesque contribue chaque jour à son ascension et son perfectionnement.

 

Si LP Digital utilise Drupal c’est non seulement pour sa puissance mais aussi parce que sa force réside dans son extensibilité. Ce CMS Open Source permet aisément d’accueillir de nombreux modules complémentaires très soignés et appréciés qui sont particulièrement adaptés pour les réseaux sociaux des entreprises. Mais chaque site internet professionnel se doit d’être bâti sur les fondements de la sécurité.

C’est pourquoi je vous propose les 5 meilleurs modules de sécurité que tout bon site développé sous Drupal se doit d’avoir :

 

  1. Password Policy
Drupal 2.png

 

Les chiffres : Password policy est utilisé par plus de 20.000 sites. Le module a été téléchargé plus de 260.000 fois.

Ce module permet de spécifier le degré de complexité d’un mot de passe (aussi appelé « renforcement de mot de passe ») en définissant une politique de mot de passe.

On peut définir une politique de mot de passe par une série de restrictions qui peut être établie avant qu’un changement de mot de passe soit accepté. Ce module met également en place un système d’expiration. L’internaute est bloqué et est obligé de changer de mot de passe quand celui-ci expire.

Les administrateurs peuvent forcer des internautes en particulier ou quels qu’ils soient à changer leur mot de passe durant leur prochaine connexion et peuvent mettre en place un onglet « mot de passe » pour les utilisateurs au lieu de l’habituel écran utilisateur/changement de mot de passe.

 

               2.Kit de sécurité

 Actuellement, environ 11 000 sites utilisent le Kit de sécurité comme un module fiable et facile à utiliser. Le module a rapporté plus de 143 mille téléchargements.

Drupal 3.png

Le module promet la sécurité dans quatre grandes catégories: cross-site scripting, cross-site request forgery, clickjacking et SSL/TLS Cross-site scripting. 

Le module Kit de sécurité permet la bonne garde en réduisant les risques d'exploitation des différentes vulnérabilités des applications web.

 

                 3.Security review

Environ 34 000 sites utilisent ce module, il a été téléchargé plus que 270 mille fois.

 

Drupal 4.png

 

Le module Security review automatise les tests pour les sites web pour la plupart des erreurs stupides qui pourraient rendre votre site vulnérable.

Ce module vous permet de vérifier l’autorisation du fichier système en tout sécurité et limite l’autorisation d’un code arbitraire.

Security Review n’ajoute pas des modifications automatiques à votre site web, que si la liste de contrôle et ses ressources seront sécurisées manuellement.

 

                4. Username Enumeration Prevention

Le module a été utilisé par plus que 7 000 sites , et a été téléchargé par près de 29 mille utilisateurs Drupal.

Bien que Drupal ait par défaut une interface tout à fait sécurisée, il y a toujours un risque d'exploiter une éventuelle faille dans le CMS, en particulier pour Drupal 6. Drupal 6 ne n'a pas la fonctionnalité de prévention de la force brute, il rend le site vulnérable pour le piratage facile à travers juste un nom d’utilisateur. Cela signifie qu'un pirate peut facilement attaquer un site via un nom d’utilisateur, suivie par hack à la Brute Force. La meilleure pratique de sécurité est de garder les noms d’utilisateur protégés. Et ceci est exactement ce que fait Username Enumeration Prévention, vous pouvez créer des noms d’utilisateur difficiles à trouver pour le pirate. La technique "username énumération" peut permettre à un attaquant de trouver les noms d’utilisateur en utilisant le "mot de passe oublié". En ajoutant simplement le nom d’utilisateur qui n'existe pas en réel, l'attaquant obtiendra la réponse de Drupal. Un attaquant peut ainsi suivre un processus simple pour continuer à essayer différents noms d’utilisateur sur le "mot de passe oublié" jusqu'à ce qu'il trouve un nom d’utilisateur valide. Avec l'activation de ce module, l'attaquant sera redirigé vers le formulaire de connexion, tandis que le message d'erreur remplacera également le message de prévisualisation. Il fonctionne en remplaçant le message qui apparaît à l'utilisateur lors de la demande d’un nouveau mot de passe à quelque chose de plus ambigu au lieu d'indiquer que l'utilisateur existe ou non, ce qui permet à l'attaquant de comprendre le nom d’utilisateur par l'intermédiaire du message d'état qui apparaît.

 

                   5.Generate Password

Presque 6 000 sites utilisent actuellement le module Generate Password. Le module a été téléchargé presque 32 mille fois.

Le module Generate Password fonctionne de façon simple. Il rend le champ de mot de passe optionnel ou plutôt caché sur la nouvelle page d'inscription de l’utilisateur, de sorte que lorsque le mot de passe ne soit pas remplis au cours du processus d'inscription et le système généré un mot de passe générique. En tant qu'administrateur, vous pouvez éventuellement choisir d'afficher ce mot de passe au moment où il est créé dans le processus d'inscription. Comment ça marche? Pour les paramètres de configuration, il suffit de visiter les paramètres de compte de la page d'utilisateur et modifier le comportement de la génération de mot de passe.

 

Mais encore….

Il existe également des services externes qui permettent de protéger votre site contre les attaques de robots, comme Securi ou bien encore SiteLock qui offre un scanneur de scripts si votre site a été infecté. WRA Protect est un module également performant qui vous permet de bloquer les attaques à la source . Il y a un système perfectionné de lanceurs d'alertes et d'intelligence artificielle, c'est une sorte de Firewall couplé à un Antivirus et combiné avec un système d'analyse en temps réel de tous ses utilisateurs.

 

 

 

Sources :

http://drupalmodules.com/module/password-policy

http://drupalmodules.com/module/security-kit

https://www.drupal.org/project/security_review

https://www.drupal.org/project/username_enumeration_prevention

https://www.drupal.org/project/genpass