Korzystanie z systemów zarządzania treścią, takich jak Drupal (ale też Joomla i WordPress) jest bardzo wygodne. Oprogramowanie to rozwijane jest od lat, posiada mnóstwo możliwości i zostało sprawdzone w boju przez twórców tysięcy stron WWW.
Niestety opublikowano właśnie informację, że znaleziono sposób na włamanie się do wszystkich stron opartych na najpopularniejszych wersjach Drupala. Co należy natychmiast z tym zrobić?
Drupal a bezpieczeństwo strony www
Każde oprogramowanie może jednak posiadać błędy. Szczególnie w popularnym oprogramowaniu hackerzy szukają nawet najmniejszych dziur, gdyż ich znalezienie pozwala im na włamania do wielu stron na raz.
Biuletyn Drupal o numerze SA-CORE-2018-002 z dnia 28 marca 2018 roku informuje, że w wersjach 6.x, 7.x oraz 8.x znaleziono lukę bezpieczeństwa, która umożliwia osobie trzeciej wykonanie własnego kodu na cudzej stronie WWW, co pozwala na całkowite jej skompromitowanie.
Podatność ta jest oznaczona jako wysoce krytyczna. Co prawda nie ma jeszcze informacji o masowych włamaniach przy użyciu tej luki, ale jest to tylko kwestia czasu.
Niestety takie incydenty obserwujemy dość często na serwerach, którymi administrujemy.
Właściciele stron często lekceważą monity wyświetlane przez oprogramowanie, informujące o konieczności aktualizacji. Często powód jest prosty – aktualizacje psują działanie starszych komponentów lub też proces aktualizacji jest zbyt skomplikowany.
Hackerzy wykorzystują luki bezpieczeństwa do różnych celów. Uzyskanie nieautoryzowanego dostępu pozwala na:
- Rozesłanie spamu z Twojej domeny. Spamer zareklamuje oferowany przez siebie produkt, który niekoniecznie chcesz, aby znalazł się w Twojej ofercie (leki na potencję, sprośne zdjęcia, oszukańcze serwisy). Dodatkowo Twój adres znajdzie się na czarnych listach, co utrudni Ci korespondencję z kontrahentami.
- Podmianę treści na stronie. Zamiast Twojej oferty znajdzie się tam farma linków lub nielegalna zawartość.
- Utrata danych. Hacker może po prostu usunąć wszystkie pliki.
- Wyciek danych. Jeśli Twoja strona zbiera dane osobowe Twoich użytkowników lub klientów, a dane te staną się dostępne publicznie, może Ci grozić nawet odpowiedzialność karna.
Więcej informacji na temat bezpieczeństwa strony www i tego na co warto zwrócić uwagę w 2018 roku znajdziesz w tym artykule.
Mam stronę na Drupalu – co robić?
Zainstaluj jak najszybciej łatki bezpieczeństwa wydane dla Twojej wersji Drupala. Jeśli korzystasz z bardzo starej wersji, niezbędna może być nawet instalacja od nowa. Niemniej Drupal podszedł bardzo poważnie do sprawy, wydając łatki do wersji 7.x, 8.3, 8.4 oraz 8.5.
Nie chcę lub nie mogę aktualizować samemu – czy możecie pomóc?
Jeśli nie wiesz jak to zrobić samodzielnie lub obawiasz się że aktualizacja uszkodzi Twoją stronę WWW, skorzystaj z naszej usługi usuwanie wirusów i zabezpieczanie stron WordPress, Joomla, Drupal.
Usługa ta przeznaczona jest nie tylko dla właścicieli stron, które już zostały zhackowane. Polecamy ją każdemu serwisowi opartemu o WordPressa, Joomlę czy Drupala – w ramach niej wykonujemy niezbędne aktualizacje i dajemy gwarancję bezpieczeństwa. Zapraszamy.
Aktualizacja Drupal 27 kwietnia 2018 roku
Niestety Drupal ogłosił, iż ponownie wykryto kolejną krytyczną podatność w tym systemie CMS. Z dniem 25 kwietnia wydano kolejne wersje, łatające kolejne luki. Dodatkowe informacje pod adresem: https://www.drupal.org/sa-core-2018-004.
Użytkownicy Drupal wersji 7.x, konieczna aktualizacja do Drupal 7.59.
Użytkownicy Drupal wersji 8.5.x, konieczna aktualizacja do Drupal 8.5.3.
Użytkownicy Drupal wersji 8.4.x, konieczna aktualizacja do Drupal 8.4.8
Aktualizacje Drupal styczeń 2019
Nowe wydane wersje Drupal rozwiązują kolejne kwestie związane z bezpieczeństwem. Przykładowo wersja 7.62 z 16.01.2019 jest oznaczona takim komunikatem:
This release fixes security vulnerabilities. Sites are urged to upgrade immediately
Należy więc ponownie wykonać aktualizacje Drupala i wszystkich jego komponentów. Należy również monitorować strony Drupala i aplikować regularnie kolejne poprawki, które się zapewne ukażą.
Na chwilę obecną odradzamy całkowicie korzystanie z CMS Drupal, a właścicielom istniejących stron zalecamy migrację na inny CMS, np. WordPress. Jeżeli jesteś zainteresowany dodatkowymi informacjami w tej kwestii, prosimy o kontakt, chętnie doradzimy i pomożemy.
Jako CEO MSERWIS posiadam ponad 20-letnie doświadczenie z zakresu tworzenia oprogramowania, funkcjonowania domen oraz serwerów wirtualnych. Odpowiadam za nadzór nad wszystkimi aspektami działalności, w tym sprzedażą, marketingiem, finansami i opracowywaniem strategii biznesowych. Pomagam przedsiębiorcom tworzyć sklepy e-commerce i konfiguratory 3D, które zapewniają więcej klientów dla ich biznesów.
Komentarze
2 odpowiedzi na “Korzystasz z CMS Drupal? To masz problem z bezpieczeństwem swojej strony WWW”