Une forteresse de sécurité complète / Blogs / Perficient

Drupal, un système de gestion de contenu (CMS) robuste et polyvalent, alimente des millions de sites Web dans le monde, y compris ceux de grandes entreprises, institutions et gouvernements. Bien que Drupal offre des fonctionnalités de sécurité robustes, il est impératif de mettre en œuvre les meilleures pratiques pour protéger votre site Web contre les cybermenaces.

Comprendre l’évolution du paysage des menaces

Le paysage numérique évolue continuellement, tout comme les cybermenaces. À mesure que les organisations adoptent de plus en plus le travail à distance et la transformation numérique, la surface d’attaque s’élargit, ce qui rend crucial la priorité à la sécurité. Drupal, comme tout logiciel, est sensible aux vulnérabilités, mais la communauté active et l’équipe de sécurité dédiée travaillent avec diligence pour y remédier.

Risques de sécurité courants et stratégies d’atténuation

Scripts intersites (XSS) : Injection de code malveillant dans des pages Web.

Dans les attaques de scripts intersites (XSS), du code malveillant est introduit dans les scripts côté client à l’aide de HTML ou de JavaScript. Les attaques XSS sont de trois types : réfléchies (non permanentes), stockées (persistantes) et basées sur DOM. Il existe plusieurs stratégies pour s’en défendre, notamment l’utilisation de frameworks qui évitent les éléments HTML et l’analyse de vos bases de données avec des scanners de vulnérabilités en ligne.

Atténuation: Gardez Drupal et ses modules à jour, utilisez la validation et la désinfection des entrées et envisagez un pare-feu d’application Web (WAF).

Injection SQL : Exploiter les vulnérabilités des requêtes SQL.

Cette attaque, également appelée injection SQL, utilise du code SQL malveillant pour accéder et modifier les bases de données principales et obtenir des données, y compris des informations personnelles identifiables (PII) sur les clients ou des informations commerciales. En évitant les requêtes dynamiques utilisant la concaténation de chaînes et en empêchant les données fournies par l’utilisateur contenant du code SQL malveillant de modifier la logique des requêtes effectuées, les développeurs peuvent réduire le risque d’injections SQL.

Atténuation: Utilisez des instructions préparées et des requêtes paramétrées, la validation des entrées et échappez aux entrées fournies par l’utilisateur.

Exécution de code à distance (RCE) : Accès non autorisé pour exécuter du code sur un serveur.

En accédant aux systèmes, les pirates informatiques peuvent exécuter à distance des logiciels malveillants ou d’autres programmes nuisibles et prendre le contrôle des systèmes ou appareils compromis au sein d’une organisation. Les attaques RCE se caractérisent par des effets qui vont au-delà de la pénétration du système, comme le cryptomining et le vol de données, et peuvent être menées depuis n’importe quel endroit dans le monde, comme leur nom l’indique.

Atténuation: Maintenez les logiciels et les modules à jour, appliquez des politiques de mots de passe strictes et effectuez régulièrement des audits de sécurité.

Contrefaçon de demande intersite (CSRF) : Inciter les utilisateurs à effectuer des actions involontaires.

Les attaques CSRF obligent les utilisateurs à effectuer des activités indésirables dans les applications alors qu’ils sont déjà authentifiés. Les attaques qui réussissent peuvent compromettre l’intégralité d’une application en ligne ou simplement transférer de l’argent et modifier les adresses et autres données.

Atténuation: Implémentez des jetons de protection CSRF, appliquez une gestion solide des sessions et informez les utilisateurs sur les meilleures pratiques de sécurité.

Meilleures pratiques pour la sécurité Drupal

Passons aux procédures et actions qui préviennent les vulnérabilités Drupal, ou à ce que vous appelleriez votre liste de contrôle de sécurité Drupal.

Maintenir le logiciel à jour

Mettez régulièrement à jour le noyau, les modules et les thèmes Drupal pour corriger rapidement les vulnérabilités de sécurité. Restez informé des avis de sécurité et des versions. Donnez la priorité aux mises à jour de sécurité critiques et appliquez-les immédiatement.

Si vous n’avez encore installé et mis à jour aucune de ces extensions, voici une liste.

1. Accès au contenu. Les autorisations de contenu sont décidées par ce module de sécurité en fonction de l’auteur et du rôle.
2. Déconnexion automatisée : Après un laps de temps prédéterminé, les utilisateurs sont déconnectés à l’aide de ce module.
3. Politique de mot de passe Ce module ajoute un degré supplémentaire de protection contre les robots de connexion et crée des restrictions de mot de passe sécurisées.
4. Limite de session. Le nombre maximum de sessions par utilisateur est limité par ce module.
5. Kit de sécurité (SecKit). En proposant une variété de choix de renforcement de la sécurité, ce module aide les organisations à réduire leur vulnérabilité aux attaques d’applications.
6. Authentification à deux facteurs (2FA). Lors des tentatives de connexion, ce module fournit une couche d’authentification supplémentaire.
7. CAPTCHA. En filtrant les entrées du formulaire spambot, ce module empêche les scripts automatisés de publier du matériel spam.

Sécurisez votre site Web avec un certificat SSL

Protégez votre site Web et les données de vos utilisateurs avec un certificat SSL. Ce certificat numérique crypte la transmission des données, empêchant tout accès non autorisé aux informations sensibles telles que les mots de passe et les numéros de carte de crédit. En activant HTTPS, vous améliorez la sécurité de votre site Web, améliorez le référencement et renforcez la confiance des utilisateurs.

Renforcez-vous avec le contrôle d’accès basé sur les rôles et protégez les autorisations de fichiers

Une variété de rôles d’utilisateur, notamment des administrateurs, des éditeurs et des utilisateurs anonymes, sont disponibles dans Drupal. Chacun peut se voir accorder des droits particuliers, notamment la possibilité de visualiser, d’éditer ou de modifier le contenu et les opérations du site Web.

Certains postes nécessiteront plus de droits que d’autres, et certains seront des comptes privilégiés. Le principe du moindre privilège (POLP) doit toujours être utilisé. Une norme de sécurité de l’information connue sous le nom de POLP maintient qu’un utilisateur ne doit pouvoir accéder qu’aux informations, programmes et ressources nécessaires à l’exécution d’une tâche. En imposant des restrictions, le POLP réduit le nombre de moyens par lesquels des acteurs malveillants pourraient accéder à vos systèmes et causer des dommages à votre entreprise.

Choisissez un hébergeur digne de confiance

En plus de stocker vos données, un fournisseur d’hébergement Web assurera la sécurité et la stabilité de votre site et de vos applications. Les fournisseurs d’hébergement sur site, d’infrastructure en tant que service (IaaS) (souvent appelé à faire soi-même) et de plate-forme en tant que service (PaaS) sont des options disponibles ; chacun offre différents degrés de protection et de soutien. À moins que vous ne choisissiez un fournisseur qui s’occupe de tout, certains réaliseront les démarches dont nous avons parlé ici, tandis que d’autres relèveront de votre responsabilité. Réfléchissez bien à vos demandes et à ce à quoi vous pourriez renoncer si vous optez pour un choix moins cher. Gardez à l’esprit les amendes qui pourraient être appliquées si votre site Web ne respecte pas les bonnes normes.

Utilisez des connexions sécurisées

Utilisez le cryptage SFTP s’il est disponible auprès de votre société d’hébergement Web ou de votre client Secure Shell (SSH), mais assurez-vous d’utiliser le port 22.

Du point de vue du client, assurez-vous que : Ne créez pas de mot de passe principal et ne conservez pas de mots de passe FTP. Les acteurs menaçants peuvent y accéder car ils sont conservés en texte brut et ne sont pas codés. Déconseiller aux utilisateurs de visiter le site Internet sur les réseaux publics dans des lieux rarement sécurisés, tels que les cafés et les aéroports.

Soyez prudent côté serveur à : Utilisez uniquement les versions les plus récentes de MySQL et PHP du fournisseur. Assurez-vous que le pare-feu des applications Web est configuré et que le compte est correctement isolé. Évitez l’hébergement partagé, qui peut conduire à des adresses IP partagées et à des serveurs surchargés.

Désinfecter : nettoyer les entrées

En ajoutant une fonction ou une logique de validation des entrées, la désinfection implique l’élimination des caractères dangereux des entrées utilisateur, renforçant ainsi la zone de téléchargement. La désinfection garantit que les données peuvent être téléchargées dans une base de données et ont un format d’affichage acceptable lorsqu’elle est mise en œuvre. Les attaques par injection XSS et SQL peuvent être évitées notamment grâce à la désinfection des entrées.

Maintenir des sauvegardes périodiques du site

Vous pouvez restaurer une sauvegarde au cas où quelque chose arriverait à votre site Web, mais le caractère récent de la sauvegarde dépendra de la fréquence à laquelle vous sauvegardez votre site. Le noyau Drupal et tous ses modules et thèmes associés, ainsi que les fichiers de votre application (tels que les fichiers PDF du contenu téléchargé), doivent être inclus dans cette sauvegarde afin que vous puissiez rapidement récupérer d’une attaque.

N’oubliez pas : disposez d’une sauvegarde solide avant d’effectuer une mise à niveau du site. Ceci est particulièrement crucial lors de l’installation d’un module ou d’un thème pour la première fois.

Garantissez des en-têtes de sécurité HTTP plus robustes.

Bien qu’il existe d’autres types d’en-têtes HTTP en plus de ceux liés à la sécurité, ceux qui s’appliquent ici indiquent au navigateur comment les différents aspects de votre site Web doivent être contrôlés. Ils constituent une excellente méthode pour protéger votre site Web ou votre application en ligne contre les intrusions telles que le détournement de clics et les attaques de l’homme du milieu (MITM).

Il est suggéré de prendre en compte les en-têtes de sécurité HTTP suivants :

• Politique de sécurité du contenu (CSP) : Vous pouvez affiner les sources de contenu autorisées et d’autres paramètres de contenu à l’aide de cet en-tête.
• Sécurité stricte des transports. L’utilisation de connexions HTTPS chiffrées plutôt que d’interactions HTTP en texte brut est implémentée via cet en-tête.
• Options de cadre X. Les éditeurs peuvent empêcher les intrus d’utiliser leur matériel dans un cadre invisible en utilisant cet en-tête. Les directives CSP appropriées peuvent désormais remplacer les options X-frame, qui sont un vestige de 2008.

Ce sont les en-têtes de sécurité HTTP les plus importants, mais il y en a d’autres, comme les broches de clé publique et la protection X-XSS.

Appliquer des politiques de mot de passe strictes

Exigez des mots de passe forts et uniques pour les comptes administratifs. Envisagez de mettre en œuvre une authentification à deux facteurs (2FA) pour une sécurité renforcée. Encouragez les utilisateurs à changer régulièrement leurs mots de passe et évitez d’utiliser des informations faciles à deviner.

Surveiller les journaux de sécurité

Examinez régulièrement les journaux du serveur et des applications pour détecter toute activité suspecte. Utilisez des outils de surveillance de la sécurité pour détecter et répondre aux menaces. Mettez en œuvre des systèmes de détection d’intrusion (IDS) et des systèmes de prévention d’intrusion (IPS) pour identifier et bloquer les attaques malveillantes.

Ajouter plus de mesures de sécurité

Vous souhaiterez peut-être installer d’autres fonctionnalités de sécurité pour une protection encore plus grande, comme :

• Un pare-feu IP avec la possibilité de mettre sur liste blanche ou de restreindre des adresses IP, des ASN ou même des nations entières
• Un certificat SSL qui protège les transactions en ligne et garantit la confidentialité et la sécurité des données des consommateurs
• Défense contre les attaques par déni de service distribué (DDoS), qui visent à surcharger un serveur avec du trafic Internet, empêchant ainsi les utilisateurs d’accéder aux services et sites Web pris en charge par le serveur. La défense DDoS réduit la portée d’une attaque en empêchant le trafic nuisible d’atteindre sa cible.
• Un outil de gestion des robots qui empêche le trafic de robots nuisibles d’endommager les API, les applications mobiles et les sites Web.

Conclusion

En adhérant à ces bonnes pratiques et en restant vigilant, vous pouvez améliorer considérablement la sécurité de votre site Web Drupal et protéger vos précieuses données. N’oubliez pas que la sécurité est un processus continu, une surveillance et une amélioration continues sont donc essentielles.