Recommandations pour les tests de sécurité sur un site Drupal?

Je suis sur le point de relancer le site Web de mon entreprise en utilisant Drupal 7. Je suis le seul ingénieur Web de notre service informatique, j'ai donc beaucoup de pain sur la planche à l'approche de la date de lancement. ceci est mon premier site majeur Drupal, je veux être sûr qu'il est aussi sécurisé que possible. J'ai pris autant de mesures de sécurité proactives que possible, y compris en suivant la configuration sécurisée et les guides meilleures pratiques de sécurité sur drupal.org, je me suis abonné au groupe de discussion sur la sécurité et j'ai renforcé le serveur LAMP en utilisant les meilleures pratiques de l'industrie.

Maintenant que j'ai terminé la diligence raisonnable en ce qui concerne la sécurité proactive, je veux exécuter un audit de sécurité avant de passer en direct pour pouvoir générer un rapport indiquant que nous sommes "aussi sécurisés que possible" pour la gestion. Je fais habituellement tous les tests à la main, page par page, en utilisant la cheatsheet de test de l'application Web OWASP ; cependant, je suis nouveau sur Drupal, ce site fait des centaines de pages et j'ai un temps limité.

Quelles sont vos recommandations pour les tests de sécurité d'un site Drupal de cette taille? J'ai accès à Nexpose Enterprise de Rapid7, donc je vais l'utiliser pour des tests automatisés. Je ne veux pas utiliser l'analyse hébergée outils, mais considéreront les outils audités par la sécurité que je peux installer moi-même. Avez-vous des listes de contrôle de sécurité que vous utilisez, similaires à OWASP, mais spécifiques à Drupal 7? Tout autre conseil pour les choses Je pourrais avoir manqué sont également appréciés!