Protéger mon site d'utilisateurs frauduleux

Contributeurs

Statut du tutoriel : 

À jour

Catégorie du tutoriel : 

Niveau du tutoriel : 

Modules utilisés : 

Ce tutoriel concerne la sécurité, et plus particulièrement, l'inscription de robots (et d'utilisateurs frauduleux en quête de site à hacker) sur votre site.
Une fois le statut d'utilisateur obtenu, ces robots ou utilisateurs malveillants peuvent réaliser tout ce qu'un utilisateur de votre site peut réaliser !

Deux cas se présentent :

  • le site n'a pas besoin que des utilisateurs autres que les centraliens aient un compte
  • le site peut avoir besoin que des utilisateurs extérieurs aient un compte

Le site n'a pas besoin que des utilisateurs autres que les centraliens aient un compte

  • Il faut alors configurer le module CAS (voir ce tutoriel)
  • Puis, il faut désactiver la possibilité de créer un compte utilisateur. Pour cela, aller dans Menu d’administration : Personnes > Configuration > Personnes > Paramètres de compte, puis sélectionner la première option de Inscription et annulation - Qui peut créer des comptes ? (Administrateurs seulement)

C'est bon : seuls les centraliens, en utilisant l'interface fournie par CAS, pourront créer un compte sur le site.

Le site peut avoir besoin que des utilisateurs extérieurs aient un compte

Il est possible, tout d'abord, de modérer la création de compte. Dans ce cas, un administrateur du site devra valider l'utilisateur avant qu'il puisse réaliser la moindre action. Pour cela, se rendre à Menu d’administration : Configuration > Personnes > Paramètres de compte, puis sélectionner la dernière option de Inscription et annulation - Qui peut créer des comptes ? (Les visiteurs, mais l'approbation d'un administrateur est requise)

Il faut également un module de CAPTCHA sur le formulaire de création de compte.
Pour cela, dans Menu d’administration : Module, activer les modules "CAPTCHA" et "image CAPTCHA".
Puis, dans Menu d’administration : Personnes > Droits, cocher la case administrer les paramètres de CAPTCHA pour les Administrateurs.
Puis se rendre sur la page "CAPTCHA", dans Menu d’administration : Configuration > Personne > Captcha :

  • dans form_id, en face de user_register_form, dans la colonne type de défi, sélectionner image (du module image_captcha)

  • dans form_id, en face de user_pass, dans la colonne type de défi, sélectionner image (du module image_captcha)

  • dans form_id, en face de user_login, dans la colonne type de défi, sélectionner image (du module image_captcha)

  • dans form_id, en face de user_login_block, dans la colonne type de défi, sélectionner image (du module image_captcha)

puis enregistrer.

C'est bon !

Mettre des captcha sur un type de contenu personnalisé

Par défaut, vous ne pouvez pas mettre de captcha sur vos types de contenu personnalisés, ni sur les formulaires permettant de poster des commentaires sur ces types. Pour permettre l’ajout de CAPTCHA allez dans Menu d’administration : Configuration > Personnes > CAPTCHA. Pour mettre un formulaire de CAPTCHA sur les commentaires associés, entrez dans ce champ comment_node_<nom_machine_de_votre_type_de_contenu>_form

Autre solution : Honeypot

Un autre module complémentaire de CAPTCHA peut être activé. Il s'agit d'Honeypot, qui se configure en allant dans Menu d’administration : Configuration > Rédaction de contenu > Configuration d'Honeypot. Son principe est que si un formulaire est rempli en moins d'un certains temps alors il s'agit obligatoirement d'un robot et donc la soumission est bloquée.

Remarque finale importante : tout ceci ne remplace pas une gestion réfléchie et intelligente des droits cédés aux utilisateurs !