Securité du site sous drupal

Information importante

En raison d'un grand nombre d'inscriptions de spammers sur notre site, polluant sans relache notre forum, nous suspendons la création de compte via le formulaire de "sign up".

Il est néanmoins toujours possible de devenir adhérent•e en faisant la demande sur cette page, rubrique "Inscription" : https://www.drupal.fr/contact


De plus, le forum est désormais "interdit en écriture". Il n'est plus autorisé d'y écrire un sujet/billet/commentaire.

Pour contacter la communauté, merci de rejoindre le slack "drupalfrance".

Si vous voulez contacter le bureau de l'association, utilisez le formulaire disponible ici, ou envoyez-nous un DM sur twitter.

Submitted by akimana on

Bonjour à tous.

Je suis débutante dans drupal. Mais avec mon expérience de 10mois, j'ai pu créer un site sous Drupal.

Après deux mois d'hebergement,j'ai essayé de me connecter en tant qu'administrateur sur mon site et je n'y ai pas parvenu. Je tente plus ou moins trois fois mais en vain.Puisqu'on me donne l'option de demender un nouveau mot de passe, je demande le nouveau mot de passe sachant que c'est un service du centre de Drupal. Quand je me connecte en suivant le lien qu'on m'envoie sur mon adresse electronique, je constate que le nom d'utilisateur n'est pas le mien mais les Yeux fermés je me connecte et je modifie ce nom d'utilisateur et le mot de passe. Le lendemain, je trouve mon site avec 'deux Themes activés' qui ne figuraient meme pas dans mes installations et quatres comptes d'utilisateur "Administrateur" que je n'ai pas créés. J'essaie de résoudre le problème moi-meme en suivant les étapes suivantes:

  • Je supprime les comptes et les thèmes inconnus,
  • Je modifie le nom d'utilisateur et le mot de passe de l'administrateur, j'enregistre et je constate que c'est bien enregistré,
  • Je me déconnecte
  • J'essai de me connecter à nouveau mais je ne parviens pas à me connecter avec ces nouveaux identifiants,
  • Je consulte la BDD, je constate que le nom d'utilisateur n'a pas été modifié.

J'ai du perdre la tete. Qui peut me donner une aide sur ce problème? Merci pour toutes vos contributions.

Forum : 
Support général
Version de Drupal : 
7.x
Tags : 
sécurité

Soumis par xaa le 19 Novembre, 2014 - 14:57

Bonjour,

Il y a eut une grosse faille de sécurité concernant Drupal 7 au mois d'octobre.
Quelle version de Drupal utilisez-vous ?

Si vous n'avez pas installé la version 7.32 avant le 16 octobre, il y a de grande chance que votre site soit piraté.

Dans ce cas, la seule solution fiable sera de reprendre un backup précédent le 15/10/2014.
il est quasi impossible de retracer et nettoyer le hack à 100% (trop de variante à couvrir).

Le pirate peut (entre autre..) contrôler les utilisateurs (y compris admin), changer les rôles, mettre à jour le drupal, voler tous les données du site, etc.

Drupal 7.32 corrige la faille (ferme la porte d'entrée) mais ne résout pas le problème si votre site est touché (le pirate peut très bien avoir caché "une autre porte d'entrée" qque part..)

C'est en anglais mais je vous invite à lire les annonces et docs officiels :
https://www.drupal.org/SA-CORE-2014-005 (publié le 15/10)
https://www.drupal.org/PSA-2014-003

ps: pour être tenu informé des maj de sécurité, il faut éditer vos paramètres de notification dans votre compte sur drupal.org

Bien à vous,
Xavier