Цього року почастішали зломи Drupal-сайтів в інтернеті. Пов'язано це з тим, що багато хто не оновлюють свої сайти, коли виходить оновлення безпеки.
Причому drupal-спільнота і команда забезпечення безпеки дуже трепетно підходять до своєї роботи. Розповімо як це відбувається:
- Хтось знаходить вразливість і повідомляє про це Drupal Security Team - команді, яка моніторить загрози безпеки Drupal.
- Security Team визначає рівень небезпеки від виявленої уразливості (їх багато: https://www.drupal.org/drupal-security-team/security-risk-levels-defined )
- За тиждень до випуску оновлення попереджаються всі власники drupal-сайтів, хто підписаний на спеціальний канал (найпростіше відстежувати твіттер https://twitter.com/drupalsecurity ), Вказується дата виходу оновлення безпеки. Це робиться для того, щоб ви швидко змогли оновити сайт, не давши шансу зловмисникам побачити в чому саме проблема в безпеці і скористатися цим.
- Виходить оновлення безпеки.
За 2018 рік було кілька значущих оновлень. На жаль, хто не встиг оновитися майже гарантовано постраждали від вірусів.
Жоден з сайтів на наших серверах не постраждав. Чому?
Оновлення сайту часто - не настільки проста процедура, особливо якщо є багато залежностей або якщо у вас дуже стара версія ядра сайту. Щось може піти не так. Але крім поновлення ядра, є ще два варіанти убезпечити себе:
- Використовувати patch для закриття вразливостей конкретних версій Drupal.
- Блокувати ризик вразливостей на рівні налаштувань веб-сервера.
Для того щоб використовувати будь-який з цих підходів, команда підтримки серверів повинна володіти великою кваліфікацією по роботі саме з Drupal. На жаль, не всі хостери мають таку можливість (більшість підтримують "все CMS", що означає - не спеціалізуються в жодній з них). Ми спеціалізуємося саме на CMS Drupal, а значить можемо використовувати обидва ці підходи. І використовуємо.
Список значущих вразливостей з початку цього року:
- SA-CORE-2018-004 - вихід 25 квітня 2018
- SA-CORE-2018-003 - вихід 18 квітня 2018
- SA-CORE-2018-002 - вихід 28 березня 2018
- SA-CORE-2018-001 - вихід 21 березня 2018
Все з них були закриті нами протягом 5-15 хвилин з моменту виходу. Жоден із сайтів, що знаходяться на нашому хостингу не постраждав. Цей результат ми зберігаємо вже близько 10 років - за 10 років роботи жоден з сайтів, що знаходяться на нашому хостингу, не постраждав від вірусів через відкритих вразливостей ядра Drupal.
Якщо у вас немає розробника, який постійно відстежує і підтримує захист вашого drupal-сайту і сервера, ви можете перенести ваш Drupal-сайт на наші сервера, для цього просто перейдіть на сторінку Drupal hosting і виберіть будь-який пакет послуг, і ми самі будемо блокувати всі уразливості і в деяких випадках (коли це необхідно) проводити оновлення ядра вашого сайту.
Чому?