Seidor
Contact
  • Talent
hombre usando un ordenador

05 juin 2024

Sécurité dans Drupal

La sécurité des sites web Drupal dépend principalement du fait de maintenir à jour la dernière version du noyau de Drupal et de tous ses modules contribués. Cependant, la sécurité peut également être améliorée par d'autres actions complémentaires que nous analyserons ci-dessous.

SEIDOR
Customer Experience

Sécurité dans Drupal

Le Drupal Security Team est une équipe de la communauté de drupal.org qui se charge constamment de revoir le code source du noyau de Drupal et de ses modules contribué pour évaluer leur sécurité. Au fil du temps, ils corrigent les vulnérabilités de sécurité du noyau et veillent à informer les responsables des modules contribué pour qu'ils les corrigent. Sur la page administrative des mises à jour de Drupal (DRUPAL_URL/admin/modules/update), nous distinguerons une mise à jour de sécurité d'une mise à jour standard car la première apparaît avec un fond rouge. Il est très important d'installer les mises à jour de sécurité au fur et à mesure qu'elles sont disponibles. En effet, même si nous pensons qu'une vulnérabilité connue de notre site web ne nous affecte peut-être pas directement, elle pourrait être utilisée par quelqu'un pour escalader les privilèges dans notre système. Par conséquent, nous ne devons jamais minimiser le risque d'une vulnérabilité et mettre à jour vers la dernière version dès que possible.

De plus, il faut revoir la configuration de Drupal et des modules que nous avons installés en gardant à l'esprit la sécurité. Par exemple, nous pourrions nous poser ces questions :

  • Devons-nous permettre à un utilisateur anonyme de s'inscrire dans le système sans l'approbation de l'administrateur ?
  • Les permissions attribuées aux rôles utilisateur sont-elles les minimums indispensables pour qu'ils puissent réaliser leurs fonctions ?

Par ailleurs, il peut également être une bonne idée de commander un audit de sécurité externe pour analyser notre site web. Cela est idéal dans les cas où notre site web dépend en grande partie de code source personnalisé et devient indispensable lorsque nous parlons d'une boutique en ligne. Nous devons être conscients que le code source personnalisé n'est pas sûr par définition du simple fait de ne pas être public. En effet, un code source personnalisé sûr doit utiliser les méthodes API déjà fournies par Drupal pour filtrer les paramètres d'entrée (GET et POST) et pour interagir avec la base de données.

Enfin, pour améliorer la sécurité de notre site web Drupal, nous pouvons également installer un WAF (Web Application Firewall) ou bien installer et configurer des modules contribué.

Auteur

SEIDOR

SEIDOR est une société de conseil technologique qui propose un portefeuille complet de solutions et de services couvrant les domaines de l’Intelligence Artificielle, Edge, Expérience Client, Expérience Employé, ERP, Données, Modernisation des Applications, Cloud, Connectivité et Cybersécurité. Avec un chiffre d’affaires de 894 millions d’euros en 2023 et une équipe de plus de 10.000 professionnels hautement qualifiés, SEIDOR est présente dans 45 pays en Europe, Amérique latine, États-Unis, Moyen-Orient, Afrique et Asie. La société est partenaire des principaux leaders technologiques.