Archives par mot-clé : cms

CMS Drupal : 10 précautions à prendre pour une sécurité maximale

Drupal figure aujourd’hui parmi les CMS les plus utilisés pour développer des sites internet. Sa rapidité, sa flexibilité et sa fiabilité font de lui le logiciel Open Source le plus prisé des grandes entreprises internationales. Autant dire qu’il est particulièrement sécurisé ! Cependant, des méthodes supplémentaires peuvent être appliquées pour augmenter encore sa résistance aux attaques. Voici 10 précautions à prendre pour encore plus de sécurité.

Drupal permet de créer des sites web aussi variés que des sites vitrine, marchands ou institutionnels, c’est pourquoi, à l’image de l’ agence drupal ITSS, bon nombre d’agences web spécialistes de création de site ou de développement spécifique choisissent, pour leurs clients, des solutions utilisant ce CMS.

Dix conseils pour plus de sécurité avec Drupal

Pour augmenter encore plus la sécurité avec drupal, et protéger son site au maximum, il est recommandé de prendre ces dix précautions supplémentaires.

1. Maintenir un nombre minimal de comptes administrateurs et enlever les utilisateurs inactifs

2. Installer des modules que la communauté Drupal a approuvé. En effet, celle-ci teste et corrige les failles détectées (plus ou moins rapidement cependant). Parmi les modules de sécurité, on retrouve Password Policy, Security Review, Kit de sécurité, Username Enumeration Prevention, Generate Password.

3. Patcher régulièrement les modules installés. En effet, ces derniers contiennent souvent des correctifs de sécurité. Drupal et ses modules doivent être à jour.

4. Choisir un bon hébergeur, qui a des mesures de sécurité qui résistent. Il est important qu’il fasse des sauvegardes régulières des sites. De même, l’utilisateur doit aussi faire des sauvegardes régulières de son site.

5. Mettre en place un certificat SSL afin de sécuriser les communications client-serveur via le protocole HTTPS.

6. Installer une protection anti-DDoS.

7. Vérifier de façon régulière les rapports d’état de Drupal pour avoir une idée de la sécurité de son site.

8. Utiliser des mots de passe forts et les changer régulièrement.

9. Utiliser l’authentification à double facteur.

10. Enlever les modules qui ne servent pas.

Drupal et ses modules

L’environnement Drupal propose un éco-systéme de modules et autres plugins. Pensez, pour la sécurité de votre espace de travail à la double authentification. Cette fameuse authentification à deux facteurs qui devient, aujourd’hui, indispensable.
Comme vous le savez, pour vous connecter, il vous est réclamé vos identifiants de connexion : login et mot de passe. Avec cette double authentification (2fa, TFA, …) il vous sera réclamé une seconde clé. Ainsi, en cas de vol de vos identifiants, sans la seconde étape de validation de connexion, point de passage possible pour le malveillant.
Pour cette option, vous devez possdéder l’extension mcrypt. Elle doit être installée pour utiliser le module TFA. Pourquoi ? Ce module stocke certaines données sensibles. Informations chiffrées à partir de  la bibliothèque php mcrypt.
Le second code dédiée à cette double authentification sera généra à partir de votre smartphone et d’une application dédiée comme celle proposée par Google.
Dernier point, et pas des moindres, lors de la mise en place de votre site, n’oubliez pas de sécuriser les comptes utilisateurs et de ne pas valider des comptes administrateurs à la pelle, ouvrant, en cas d’oublie, des portes possibles à des modifications non prévues. Les personnes autorisées se devront d’avoir un mot de passe fiable. Le module « password policy » devrait pouvoir les y aider. Il obligera les plus « feignants » à se créer un sésame digne de ce nom en définissant des politiques de mot de passe que vous aurez décidé : majuscules, chiffres, nombre de signes … Vous pourrez, par exemple, imposer deux majuscules dans un mot de passe ; quatre chiffres ; …
Il permet aussi de véfirier que le mot de passe n’a pas déjà été exploité via un historique proposé par le module. Il vérifie le mot de passe haché par rapport à une collection de mots de passe hachés précédents.

WordPress ou lorsque la moitié des sites Web du Net sont vulnérables

Le 21 avril, WordPress a émis un avis de sécurité critique et « vivement encouragé » ses utilisateurs à mettre à jour « immédiatement » leurs sites Web. En règle générale, l’utilisation de ces termes alarmants est symptomatique d’une menace majeure. Et c’était effectivement le cas.

WordPress domine tellement le marché des CMS que près de 50% de l’ensemble des sites Web s’appuient sur ce système de gestion de contenu. Ce récent avis de sécurité résout de nombreuses vulnérabilités dont certaines étaient critiques puisqu’un attaquant pouvait obtenir un accès administrateur pour n’importe lequel des millions de sites Web fonctionnant sous WordPress. La vulnérabilité la plus sensible affecte la version 4.1.1 de WordPress et les versions antérieures.

Pour commencer, MySQL prend des libertés avec UTF-8

Le chercheur Cedric Van Bockhaven a découvert que le jeu de caractères UTF-8 utilisé par MySQL ne supportait que des caractères encodés sur 3 octets, ce qui est plus que suffisant pour la plupart des langues modernes (BMP), mais pas assez pour les caractères supplémentaires (SMP) tels que le superbe cheval de manège (U+1F3A0) ou le joli petit poussin vu de face (U+1F425) …

Si vous tentez d’insérer une chaîne de caractères contenant l’un de ces magnifiques animaux dans une colonne de type UTF-8, MySQL tronquera la chaîne de caractères après le caractère encodé sur 4 octets et avertira l’administrateur de la présence d’une «Incorrect string value». Le seul moyen de prévenir ce type d’insertion est de configurer MySQL en mode strict, ce qui n’est pas le cas par défaut.

Malheureusement, le fonctionnement de WordPress est basé sur MySQL et le CMS n’utilise pas le mode strict.

Ensuite, on exploite la faille

Lorsqu’on parle de troncation, le Cross-site Scripting (XSS) n’est jamais très loin. M. Van Bockhaven a découvert que le même comportement de troncation UTF-8 permettait d’exploiter la fonctionnalité de commentaires de WordPress et d’insérer des scripts, quel que soit le thème WP. Le chercheur a pu modifier les mots de passe, créer un nouveau profil administrateur et exécuter à peu près n’importe quelle action sur le CMS.

Un autre exploit a été révélé le lendemain à partir du même problème de troncation. Jouko Pynnönen a en effet découvert que la taille des entrées du type TEXT de MySQL est limitée à 64 kilo-octets. Un très long commentaire sera donc tronqué tout comme le caractère encodé sur 4 octets de M. Van Bockhaven et avec les mêmes conséquences. Pour résoudre cette deuxième vulnérabilité, WordPress a publié un nouvel avis de sécurité (4.2.1)


Ensuite, WordPress corrige

L’équipe chargée de la sécurité de WordPress a résolu le problème UTF-8 via la mise à jour 4.1.2 du 21 avril qui prend désormais pleinement en charge les caractères encodés sur 4 octets en modifiant le jeu de caractères MySQL utilisé par défaut dans WordPress en UTF-8MB4. Une semaine plus tard, une nouvelle mise à jour 4.2.1 réglait le problème de troncation lors de l’insertion de longs commentaires. Les vulnérabilités XSS liées à ces problèmes ne seront donc plus exploitables.

L’équipe a également résolu d’autres problèmes de sécurité concernant encore XSS dans une version plus ancienne de WordPress ainsi que celui de l’injection de codes SQL dans certains plug-ins vulnérables. Le 7 mai, l’équipe sécurité de WordPress publie une nouvelle version 4.2.2. Cette fois c’est une vulnérabilité de type DOM XSS qui cible le CMS… (Par Jerôme Clauzade, Qualys)

Protéger son site face aux cyber attaques

L’actualité récente a suscité une recrudescence des tentatives de piratage des sites internet. L’hébergeur Oceanet Technology vient de communiquer auprès de ses clients afin de sensibiliser ces derniers aux bonnes pratiques du web.

« Lorsque nous assurons l’administration système de votre serveur, nous mettons en œuvre les bonnes pratiques d’hébergement permettant de limiter les risques d’intrusion au niveau du système d’exploitation, explique l’entreprise Nantais. Toutefois, ces mesures ne sont pas suffisantes pour protéger l’application ou le site web hébergé.« 

Beaucoup de webmasters pensent que l’hébergeur est le rempart, la protection. C’est oublié les outils installés par les administrateurs des sites. Sont particulièrement visés les sites internet qui s’appuient sur des gestionnaires de contenu (CMS) tels que Joomla, WordPress, Drupal ou l’un des nombreux autres outils de ce type. En effet, lorsque ces outils ne sont pas maintenus à jour, les pirates peuvent profiter de failles connues pour déposer un contenu indésirable sur le site.

Comment le protéger

– En appliquant l’ensemble des mises à jour disponibles pour votre CMS
Cette opération est la plus simple et la plus pérenne. Elle vous immunise contre les failles connues et corrigées et vous permet de continuer à utiliser votre site dans les meilleures conditions. Si vous ne maîtrisez pas ces questions, n’hésitez pas à vous rapprocher du prestataire qui a réalisé votre site et pourra réaliser pour vous cette vérification.

– Par placement en lecture seule
Cette opération interdira toute modification du contenu de votre site, que ce soit par vous ou par un pirate éventuel. Naturellement, cette solution est peu souhaitable puisque vous ne pourrez plus modifier le contenu de votre site. Toutefois, s’il s’agit d’un site ancien dont le contenu n’évolue plus, cette solution vous permet de garantir que votre site demeurera en l’état. Si Oceanet Technology administre votre système, nous pouvons réaliser cette opération sur simple demande au support.

Lorsqu’un site est piraté, il arrive que celui-ci serve de pont pour porter atteinte à d’autres utilisateurs que ce soit au travers de campagnes de mails indésirables ou d’opérations de dénis de service. « Dans de telles circonstances, indique Oceanet Technology, nous n’avons d’autre choix que de suspendre l’activité du site compromis. » Bref, les mesures de prévention proposées ci-dessus sont donc importantes pour garantir la disponibilité de votre site.