Nos 7 modules préférés pour améliorer la sécurité de Drupal 8

Monday 8 July 2019

Une liste hautement suggestive mais testée en conditions réelles pour améliorer encore plus la sécurité de Drupal et vous faciliter la vie !

Drupal 8 security modules

Rename Admin Path

Rename Admin Path permet comme son nom l'indique de changer l'URL d'administration par défaut mais aussi celle des comptes utilisateurs (/user) à sa guise.

Rename

Pourquoi ce module est-il utile ?

Pour éviter aux petits malins qui connaissent bien les URLs d'administration des CMS les plus utilisés du marché de tenter des attaques bruteforce par exemple. Ce module n'offre pas de mécanismes particuliers contre ce genre d'attaques mais le fait de en plus avoir l'URL par défaut limite grandement les tentatives.

Il est surtout extrêmement utile contre les bots qui s'amusent à créer des comptes en masse sur un site où l'enregistrement est ouvert.

Password Policy

Ce module de sécurité permet de personnaliser la politique de mots de passe du site.

Par exemple, lorsque vous définissez que vous devez avoir une lettre majuscule, un chiffre et un caractère spécial, aucun utilisateur ne peut créer de mot de passe sans respecter les consignes mentionnées.

En compliquant le mot de passe, vous augmente le temps nécessaire à la réussite d'attaques par dictionnaire et autres techniques dîtes bruteforce.

De fait c'est un indispensable pour suivre les recommandations d'un DPO dans le cadre du RGPD.

Login Security

Ce module améliore la sécurité lors de la connexion à votre site Drupal.

En activant ce module, un administrateur peut limiter le nombre de connexions non valides avant de bloquer des comptes ou, en interdisant l’accès par adresse IP, de manière temporaire ou permanente.

En option, Login Security peut altérer les messages d'erreur de connexion de Drupal Core et limiter l'exposition des raisons de l'échec d'une connexion. Cela rend plus difficile pour un attaquant de déterminer si le compte existe ou pas.

Enfin ce module peut s'interface avec le système Nagios pour avertir vos administrateurs systèmes en cas d'attaque répétée.

Autologout

Considéré comme un module de sécurité important, il vous permet de définir le délai d'expiration de la session pour tout utilisateur. Il donne à l'administrateur du site la possibilité de déconnecter les utilisateurs après une période d'inactivité spécifiée pour sécuriser vos données.

En outre, il est hautement personnalisable et permet à l’administrateur de définir et de désactiver le délai d’expiration de la session pour différents rôles d’utilisateur. Il inclut un mécanisme JS pour garder les utilisateurs connectés même si l'utilisateur travaille sur un formulaire depuis plus longtemps.

Security Kit

SecKit fournit à Drupal diverses options de renforcement de la sécurité.

Cela vous permet d'atténuer les risques d'exploitation des vulnérabilités courantes des applications Web :

  • Cross-site Scripting
  • Cross-site Request Forgery
  • Clickjacking
  • SSL/TLS

Une bonne base !

Session Limit

Session Limit permet aux administrateurs de restreindre un nombre de sessions simultanées par utilisateur. Ce module incitera l'utilisateur à se déconnecter de toute session supplémentaire après avoir passé le nombre de sessions défini par l'administrateur. Une session est définie pour chaque navigateur à partir duquel un utilisateur peut se connecter.

HoneyPot

Ceci est un module de détection de SPAM qui utilise des champs de formulaire pour confondre les spammeurs qui postent sur votre site Drupal.

La meilleure alternative aux captchas selon nous est le module HoneyPot.

Lorsqu'il est correctement configuré, les spambots sont incités à remplir des formulaires qui seraient autrement invisibles pour d'autres utilisateurs (humains).

Son principal avantage est qu'il ne requiert pas d'actions compliquées de la part de l'utilisateur et malgré tout, il reste efficace !

De plus, il ne dépend pas de Google…

@lcoullet