Lors du DrupalCon Pittsburgh 2023 Security Team Panel, l'Association Drupal a officiellement annoncé la date de fin de vie de Drupal 7. Il n'y aura plus d'extensions ! À partir du 5 janvier 2025, Drupal 7 ne sera plus pris en charge par l'équipe de sécurité de Drupal.
Drupal 7 a été publié il y a 14 ans et trois versions majeures ont été publiées depuis (y compris Drupal 8 qui a déjà atteint sa fin de vie). La fin de vie de Drupal 7 va libérer des ressources pour l'équipe de sécurité de Drupal, leur permettant de mieux supporter Drupal 10 et les versions suivantes.
Que signifie la fin de vie de Drupal 7 pour les organisations qui utilisent encore cette version ?
Ce guide explique :
- À quoi il faut s'attendre avant la fin de vie de Drupal 7
- À quoi il faut s'attendre après la fin de vie de Drupal 7
- Les risques de rester sur Drupal après le 5 janvier 2025
- Vos options pour quitter Drupal 7
N'oubliez pas que tous les sites web et toutes les organisations sont uniques. Les actions recommandées ci-dessous ne sont donc que des suggestions d'ordre général. Il se peut que vous souhaitiez faire des recherches supplémentaires ou consulter d'abord l'un de nos experts.
Changements à prévoir avant janvier 2025
Quelques changements seront apportés à Drupal 7 avant qu'il n'atteigne sa fin de vie. Cela permettra de réduire la charge de travail de l'équipe de sécurité de Drupal et d'encourager les organisations et les propriétaires de sites web à mettre à jour leurs sites Drupal 7 existants. Voici à quoi il faut s'attendre et ce que vous pouvez faire pour vous préparer.
Les modules et les thèmes non pris en charge le resteront
Après le 1er août 2023, les modules ou thèmes de Drupal 7 qui sont marqués comme non pris en charge ne pourront plus être pris en charge.
De plus, il n'y aura pas d'avis de sécurité pour les bibliothèques non prises en charge sur lesquelles s'appuient les modules ou thèmes contribués à Drupal 7 (comme CKEditor 4).
Action recommandée : Adoptez un projet ! Si vous ou vos clients dépendez d'un module ou d'un thème D7, envisagez de vous porter candidat à sa maintenance avant qu'il ne soit signalé comme non pris en charge en raison de problèmes non résolus.
Les problèmes non critiques de Drupal 7 peuvent devenir publics
À partir du 1er août 2023, l'équipe de sécurité de Drupal pourra décider d'inviter la communauté open source à l'aider à résoudre des problèmes non critiques liés à Drupal 7. Ces problèmes seront choisis en fonction des niveaux de risque de sécurité. Seuls les problèmes qui ne peuvent pas être exploités en masse seront partagés publiquement.
Si un problème affecte à la fois Drupal 7 et 10, un avis de sécurité Drupal 10 peut être publié sans être accompagné d'un correctif Drupal 7.
Action recommandée : Si vous exploitez un site Drupal 7, surveillez la liste des problèmes publics et pensez à contribuer à la résolution des problèmes qui pourraient vous concerner.
PHP 5.5 et les versions inférieures ne seront plus prises en charge
À partir du 1er juillet 2023, l'équipe de sécurité de Drupal ne publiera plus que des correctifs pour PHP 5.6 et plus. (Elle pourra ajuster cette politique avant la fin de vie de Drupal 7 avec un préavis d'un mois).
Action recommandée : PHP 5.6 et PHP 7 ont déjà atteint leur fin de vie, nous recommandons donc une mise à jour vers PHP 8 dès que possible.
Plus de correctifs de sécurité pour les problèmes liés à Drupal 7 sous Windows uniquement
Windows ne sera plus testé et les problèmes de sécurité uniquement liés à Windows ne seront plus corrigés.
Action recommandée : Envisagez de migrer vers un autre système d'exploitation si vous utilisez un site Drupal 7 sous Windows.
Bibliothèques tierces non supportées
Les bibliothèques tierces utilisées avec Drupal 7 peuvent être marquées comme non prises en charge à tout moment en fonction de leurs exigences ou de leur obsolescence (comme CKEditor et TinyMCE).
Action recommandée : Évaluez votre utilisation des bibliothèques tierces dans vos sites Drupal 7.
Changements à prévoir après janvier 2025
Lorsque Drupal 7 atteindra sa fin de vie le 5 janvier 2023, toute infrastructure connexe maintenue par l'Association Drupal sera désactivée. Cela signifie que :
- Drupal.org n'effectuera plus d'opérations d'empaquetage pour le code Drupal 7 ou les branches/versions Drupal 7 des modules contribués. Cela signifie que plus aucune version ne sera construite à partir de ces dépôts git.
- Les branches Drupal 7 de tous les projets seront marquées comme non supportées.
- Les flux XML Drupal 7 du catalogue de modules pour l'empaquetage seront désactivés. Cela perturbera les anciennes versions de Drush et peut empêcher Drush de télécharger des paquets.
- Toutes les infrastructures de test basées sur drupal.org pour Drupal 7 seront désactivées.
D'autres changements sont à prévoir :
- Un message dans l'interface d'administration pour informer les utilisateurs de Drupal 7 que leur site web n'est pas sécurisé.
- Les sites utilisant encore Drupal 7 peuvent être signalés comme non sécurisés dans les analyses de tiers.
- Les problèmes liés à Drupal 7, y compris les plus critiques, peuvent être rendus publics sans correction ni notification préalable.
- Contrairement à Drupal 6, l'Association Drupal n'encouragera pas le soutien à long terme des fournisseurs pour Drupal 7 après sa fin de vie.
Qu'est-ce qui reste inchangé après la fin de vie de Drupal 7 ?
La fin de vie de Drupal 7 n'affectera rien de ce qui est lié à Drupal 10+.
De plus, les dépôts git des versions Drupal 7 du noyau et des modules contribués seront maintenus en ligne.
L'association Drupal peut choisir de continuer à ajouter des règles de pare-feu d'application web pour protéger les sites Drupal 7. Cela se fera par l'intermédiaire de Drupal Steward : un service payant fourni par l'association Drupal et l'équipe de sécurité Drupal par l'intermédiaire de ses partenaires. Drupal Steward protège les sites en bloquant certains types de requêtes web (relatives à des vulnérabilités publiques et non résolues) avant qu'elles n'atteignent votre serveur web.
Les risques liés à l'utilisation de Drupal 7 après sa fin de vie
- Maintenir Drupal 7 après sa fin de vie n'est pas une option sûre ou pratique. En effet, cela :
- Vous exposerez à des risques de sécurité. Votre site ne recevra pas de mises à jour de l'équipe de sécurité de Drupal. Les vulnérabilités critiques non résolues peuvent être rendues publiques, ce qui expose votre site à un risque encore plus grand. Les logiciels en fin de vie nécessitent parfois d'autres composants qui ne sont pas sécurisés, ce qui augmente également les risques.
- Limitez votre portée et vos partenariats. Votre site sera probablement signalé comme non sécurisé par les scanners de failles de sécurité. La plupart des grandes entreprises n'autorisent pas les logiciels en fin de vie à fonctionner en interne, et les cadres de sécurité (PCI_DSS, FedRAMP, FISMA) interdisent les logiciels en fin de vie.
- Soutien et opportunités limités. Drupal.org ne prendra plus en charge les tâches liées à Drupal 7 (y compris la documentation, la navigation, les tests automatisés et l’empaquetage). De plus, sans accès aux nouvelles fonctionnalités ajoutées aux versions ultérieures de Drupal, votre site perdra de sa valeur aux yeux de votre public.
Que faire maintenant ? Passer à autre chose après Drupal 7
- Il est important d'agir sur votre site Drupal 7, que vous souhaitiez le conserver ou non. Voici les principales options qui s'offrent à vous :
- Migrer de Drupal 7 vers Drupal 10. La dernière version majeure de Drupal offre une gamme fantastique de fonctionnalités pour vous aider à construire un site flexible, engageant et sécurisé. Nous sommes particulièrement enthousiastes à l'idée d'éditer du contenu avec CKEditor 5, de configurer des mises à jour automatiques et d'utiliser le thème accessible par défaut Olivero.
- Migrer vers un autre CMS open source. Bien que nous soyons passionnés par Drupal, nous savons que ce n'est pas le bon choix pour toutes les organisations. Les alternatives que nous utilisons parfois sont Backdrop et WordPress.
- Passer à un site web statique. Cette option est envisageable si vous ne mettez plus à jour le contenu de votre site.
- Passer à une solution SaaS (Software as a Service). Vous n'aurez plus besoin d'assurer la maintenance et la mise à jour du code. Cette solution présente toutefois certains inconvénients, comme une plus grande incertitude quant au coût et à l'évolution du produit sur le long terme.
- Désactiver votre site web. Cette option est envisageable si vous n'avez plus besoin de votre site web ou si vous n'avez pas le temps ou les ressources nécessaires pour le sécuriser. Il est important de ne pas conserver un site web inutilisé, car il peut devenir une cible pour les pirates informatiques.
Nous pouvons vous aider à planifier et à mettre en œuvre votre prochaine étape
Chaque site web est différent et l'évaluation des différentes options de transition vers Drupal 7 peut s'avérer difficile. Evolving Web possède une vaste expérience dans la réalisation d'audits et de migrations de sites. En tant que partenaire Platine certifié Drupal, nous pouvons fournir des recommandations fiables adaptées à vos plateformes et à vos besoins. Contactez-nous dès aujourd'hui.