Drupal - Sécurité du site

Dans ce chapitre, nous étudierons comment sécuriser le site Drupal. Ce chapitre spécifie des suggestions de configuration de sécurité pour les administrateurs de site et informe l'administrateur sur la manière de sécuriser le site.

Il existe de nombreux modules contribués qui vous aident à configurer la sécurité dans lesquels Security Review Le module automatise le test des erreurs qui rendent votre site non sécurisé.

  • Vous pouvez signaler un problème de sécurité directement avec Drupal core, contrib ou Drupal.orgen envoyant un e-mail concernant le problème. L'équipe de sécurité vous aidera à résoudre votre problème avec l'aide du responsable du projet.

  • Sécurisez les autorisations et la propriété de vos fichiers en configuringle système de fichiers du serveur, car le serveur Web (par exemple Apache) ne doit pas avoir accès pour éditer ou écrire les fichiers. Il devrait s'agir de fichiers en lecture seule , qui seront exécutés plus tard.

  • Les niveaux de risque de sécurité sont basés sur le NIST Common Misuse Scoring System (NISTIR 7864) , afin que l'organisation puisse vérifier comment gérer le problème. Voici les points qui vous aideront à comprendre le niveau de risque de sécurité en attribuant le nombre entre 0 et 25 -

    • 0 to 4 - Pas critique.

    • 5 to 9 - Moins critique.

    • 10 to 14 - Modérément critique.

    • 15 to 19 - Critique

    • 20 to 25 - Très critique.

  • Tout en acceptant les informations sensibles telles que le numéro de carte de crédit, le PCI (Payment Card Industry) définit un certain nombre de normes de sécurité des données . Bien que ce ne soit pas spécifique à Drupal, il est important que chaque développeur Drupal en soit conscient. Pour en savoir plus sur les problèmes PCI, vous pouvez consulter ce lien Livre blanc Drupal PCI Compliance .

  • Les utilisateurs sont autorisés à être supprimés ou même aux utilisateurs de se supprimer eux-mêmes dans le site Drupal, ce qui peut parfois conduire à une situation inattendue.

  • Activer HTTPS, qui est plus sûr pour envoyer des informations sensibles à un site Web telles que -

    • Cartes de crédit

    • Cookies sensibles tels que les cookies de session PHP

    • Mots de passe et noms d'utilisateur

    • Informations identifiables (numéro de sécurité sociale, numéros d'identification d'État, etc.)

    • Contenu confidentiel

  • Améliorez votre sécurité en utilisant Contribué modules. Certaines catégories de modules standard sont -

    • Catégorie de sécurité

    • Accès / authentification des utilisateurs

    • Modules de prévention du spam

  • Vous pouvez désactiver les rôles et autorisations de l'utilisateur en installant le Secure Permission module.

  • L'opération de sécurité peut être améliorée dans l'opération de connexion en installant le Login Security module.

  • L'administrateur du site peut sécuriser son site en le rendant privé et en limitant le site à un accès limité pour les utilisateurs par le rôle. En raison de ce processus, votre site ne sera pas accessible aux moteurs de recherche et autres robots d'exploration (pour créer un index de données dans www).