Своевременное обновление ядра Drupal

Опубликовано tulvit - пт, 14/11/2014 - 06:17

Так-то, сей пост хотел написать еще много лет назад. Но все повода не было. Сам за выходом новых версий не так чтобы и следил, ну и обновлял стало быть тоже крайне нерегулярно. И при всем при этом за почти 7 лет использования Друпала никаких проблем это не вызывало. До недавнего времени.

В конце октября были взломаны все мои сайты на Drupal 7.х. SQL injection vulnerability, возможность выполнять любой SQL запрос. Благо ничего не поломали, только создали дополнительные роли и новых пользователей, ну и где-то административный пароль сменили. Хотя может бекдорчики и оставили, но бегло просмотрев ничего не нашел.

Официальная информация об уязвимости, FAQ по уязвимости и обсуждение.

Лечится просто - либо патчингом database.inc, либо обновлением ядра до версии 7.32+.

Взломали все мои сайты, кроме таки одного. У которого и ядро и все модули были up to date. А вообще, взлом был достаточно массовым, достаточно загуглить "drupal drupaldev megauser" и по смежным запросам. Взломаны были тысячи сайтов, если не десятки тысяч, а может и больше сотни тысяч. На семерке сидят многие. Ну а своевременно обновляются единицы.

Вывод из всего этого прост и очевиден - надо регулярно обновляться, в идеале в день выхода нового релиза, а не тянуть до последнего. Следить за обновлениями можно настроив уведомления на почту в админке нужного Drupal сайта (в разделе Reports) или, если сайтов много и не хочется захламлять почтовый ящик, просто подписаться по RSS на последние релизы хотя бы для ядра нужной ветки.

Это частный случай, понятное дело. А в общем и целом надо хоть какое-то внимание уделять компьютерной безопасности, начиная от привязки того же акка в Gmail к мобильному телефону и заканчивая грамотным администрированием и слежением за безопасностью и актуальностью используемого ПО. Это в идеале. По факту же все как всегда. Что в итоге и имеем.

Это да, Drupal всегда отличался от других CMS направленностью больше на программистов, чем на обычных пользователей. Вряд ли среднестатистический вебмастер будет использовать Drush для обновлений.

Но справедливости ради стоит отметить, что Друпал с каждой последующей версией становится все более юзер-френдли, начиная с семерки уже не выходя из админки можно модули обновлять, да и сама админка сильно юзабельней стала. Может когда и обновление ядра из коробки прикрутят.

Добавить комментарий

You must have Javascript enabled to use this form.