Цього року почастішали зломи Drupal-сайтів в інтернеті. Пов'язано це з тим, що багато хто не оновлюють свої сайти, коли виходить оновлення безпеки.

Причому drupal-спільнота і команда забезпечення безпеки дуже трепетно ​​підходять до своєї роботи. Розповімо як це відбувається:

1. Хтось знаходить вразливість і повідомляє про це Drupal Security Team - команді, яка моніторить загрози безпеки Drupal.
2. Security Team визначає рівень небезпеки від виявленої уразливості (їх багато: https://www.drupal.org/drupal-security-team/security-risk-levels-defined )
3. За тиждень до випуску оновлення попереджаються всі власники drupal-сайтів, хто підписаний на спеціальний канал (найпростіше відстежувати твіттер https://twitter.com/drupalsecurity ), Вказується дата виходу оновлення безпеки. Це робиться для того, щоб ви швидко змогли оновити сайт, не давши шансу зловмисникам побачити в чому саме проблема в безпеці і скористатися цим.
4. Виходить оновлення безпеки.

За 2018 рік було кілька значущих оновлень. На жаль, хто не встиг оновитися майже гарантовано постраждали від вірусів.

Жоден з сайтів на наших серверах не постраждав. Чому?

Оновлення сайту часто - не настільки проста процедура, особливо якщо є багато залежностей або якщо у вас дуже стара версія ядра сайту. Щось може піти не так. Але крім поновлення ядра, є ще два варіанти убезпечити себе:

1. Використовувати patch для закриття вразливостей конкретних версій Drupal.
2. Блокувати ризик вразливостей на рівні налаштувань веб-сервера.

Для того щоб використовувати будь-який з цих підходів, команда підтримки серверів повинна володіти великою кваліфікацією по роботі саме з Drupal. На жаль, не всі хостери мають таку можливість (більшість підтримують "все CMS", що означає - не спеціалізуються в жодній з них). Ми спеціалізуємося саме на CMS Drupal, а значить можемо використовувати обидва ці підходи. І використовуємо.

Список значущих вразливостей з початку цього року:

• SA-CORE-2018-004 - вихід 25 квітня 2018
• SA-CORE-2018-003 - вихід 18 квітня 2018
• SA-CORE-2018-002 - вихід 28 березня 2018
• SA-CORE-2018-001 - вихід 21 березня 2018

Все з них були закриті нами протягом 5-15 хвилин з моменту виходу. Жоден із сайтів, що знаходяться на нашому хостингу не постраждав. Цей результат ми зберігаємо вже близько 10 років - за 10 років роботи жоден з сайтів, що знаходяться на нашому хостингу, не постраждав від вірусів через відкритих вразливостей ядра Drupal.

Якщо у вас немає розробника, який постійно відстежує і підтримує захист вашого drupal-сайту і сервера, ви можете перенести ваш Drupal-сайт на наші сервера, для цього просто перейдіть на сторінку Drupal hosting і виберіть будь-який пакет послуг, і ми самі будемо блокувати всі уразливості і в деяких випадках (коли це необхідно) проводити оновлення ядра вашого сайту.