Chez bluedrop.fr, nous ne nous contentons pas d’utiliser Drupal : nous contribuons activement à son écosystème. Depuis plus de 25 ans, notre équipe participe à la vie de la communauté open source, en développant, patchant et améliorant des modules pour répondre aux besoins concrets de nos clients et de la communauté. Aujourd’hui, nous vous présentons Deindex Unpublished Files, un module récent mais déjà adopté par la communauté, qui résout un problème de sécurité récurrent : l’accès public aux fichiers liés à des médias non publiés.
Pourquoi ce module est utile pour votre site Drupal ?
En tant qu’agence Drupal, nous rencontrons régulièrement des situations où des médias (images, PDF, etc.) restent accessibles via leur URL directe, même après avoir été désactivés dans le CMS.
Pourquoi ? Parce que Drupal gère le statut de publication au niveau du CMS, mais le serveur web (Apache, Nginx) ne vérifie pas ce statut : il sert le fichier si l’URL est valide.
Résultat : des contenus sensibles ou obsolètes peuvent être indexés par les moteurs de recherche ou accessibles à quiconque connaît l’URL.
Notre engagement : des solutions concrètes pour la communauté
Nous croyons en l’open source comme levier d’innovation collective. C’est pourquoi nous contribuons, testons et recommandons des modules comme Deindex Unpublished Files, qui comble cette faille de sécurité en :
- Bloquant l’accès direct aux fichiers des médias non publiés.
- Empêchant leur indexation par les moteurs de recherche.
- Proposant deux méthodes de protection : préfixe d’URL ou déplacement vers un répertoire privé.
Un module jeune, mais déjà adopté : publié le 24 septembre 2025, il est déjà repris sur plusieurs sites, preuve de son utilité pour la communauté.
Comment fonctionne Deindex Unpublished Files ?
Le module Deindex Unpublished Files pour Drupal assure que les fichiers associés à des entités médias non publiées ne soient plus accessibles publiquement.
Deux méthodes sont proposées :
- ajouter un préfixe à l’URL du fichier (rendant l’URL invalide ou non routable),
- déplacer le fichier vers un répertoire de fichiers privés (par exemple private://unpublishedfiles) pour qu’il soit géré au travers du système de fichiers privés de Drupal.
Le module ne fonctionne qu’avec les types de médias qui possèdent un champ de type « fichier ».
En résumé, ce module ajoute une couche de protection au niveau des fichiers eux-mêmes (et de leur indexation), ce qui complète les contrôles de publication habituels dans Drupal.
Compatibilité et installation : un module prêt pour Drupal 10 et 11
| Élément | Détail |
|---|---|
| Versions compatibles Drupal | 10 ou 11 |
| Version stable actuelle | 1.0.5 (publiée le 26 septembre 2025) |
| Branches de développement | 1.1.x-dev et 1.0.x-dev pour les tests |
| Méthode d’installation recommandée | Via composer |
| Couverture sécurité | En attente de validation par la politique de sécurité de drupal.org |
Installation et configuration
1. Installation via Composer
composer require 'drupal/deindex_unpublished_files:^1.0'Puis activer le module via Drush ou l’interface :
drush en deindex_unpublished_files2. Configuration
- Videz les caches pour appliquer les modifications.
- Accédez au formulaire de configuration : Configuration → Media → Unpublished files settings
- Choisissez votre méthode de protection :
- Préfixe d’URL : idéal pour une mise en place rapide.
- Fichiers privés : recommandé pour une sécurité maximale.
3. Testez l’accès aux fichiers
Testez l’URL directe d’un fichier attaché à un média non publié avant et après activation. Avant d’activer le module, vous constaterez probablement que l’URL donne le fichier. Après activation, l’accès doit être bloqué (404, accès refusé, ou URL cassée).
Cas d’usage et bénéfices
Intégration dans une stratégie Drupal plus large
Dans le même esprit que le module Page Cache Exclusion que nous avons déjà présenté sur ce blog, le module Deindex Unpublished Files s’inscrit dans une stratégie de durcissement et de contrôle des accès.
Sécurisation des contenus non publiés
Dans un site éditorial, marketing ou institutionnel, il peut arriver que des documents intermédiaires, des images de brouillon ou des fichiers d’essai soient uploadés puis désactivés. Sans ce module, ces fichiers pourraient rester accessibles, ce qui constitue une fuite de données ou de contenus non validés.
Optimisation SEO et conformité RGPD
En empêchant que les fichiers non publiés soient accessibles, on limite le risque que Google, Bing ou d’autres moteurs les indexent. C’est un plus pour la propreté de l’index du site. Le module améliore donc le référencement naturel (SEO) en évitant le contenu dupliqué ou obsolète. Un atout pour les sites français soumis au RGPD, où la gestion des données est critique.
Pourquoi nous faire confiance ?
- Contributeurs actifs : Nous participons régulièrement à la communauté Drupal (patches, modules, événements).
- Expertise reconnue : 25 ans d’expérience en développement et sécurisation de sites Drupal.
- Approche sur-mesure : Nous adaptons les solutions open source aux besoins spécifiques de vos projets.
Besoin d’aide pour configurer Deindex Unpublished Files ? Contactez-nous pour un audit ou un accompagnement personnalisé.
