В этом году участились взломы Drupal-сайтов в интернете. Связано это с тем, что многие не обновляют свои сайты, когда выходит обновление безопасности.
Причем drupal-сообщество и команда обеспечения безопасности очень трепетно подходят к своей работе. Расскажем как это происходит:
- Кто-то находит уязвимость и сообщает об этом Drupal Security Team - команде, которая мониторит угрозы безопасности Drupal.
- Security Team определяет уровень опасности от обнаруженной уязвимости (их много: https://www.drupal.org/drupal-security-team/security-risk-levels-defined)
- За неделю до выпуска обновления предупреждаются все владельцы drupal-сайтов, кто подписан на специальный канал (проще всего отслеживать твиттер https://twitter.com/drupalsecurity ), указывается дата выхода обновления безопасности. Это делается для того, чтобы вы быстро смогли обновить сайт, не дав шанса злоумышленникам увидеть в чем именно проблема в безопасности и воспользоваться этим.
- Выходит обновление безопасности.
За 2018 год было несколько значимых обновлений. К сожалению, кто не успел обновиться почти гарантированно пострадали от вирусов.
Ни один из сайтов на наших серверах не пострадал. Почему?
Как мы обеспечиваем безопасность наших сайтов
Обновление сайта часто - не столь простая процедура, особенно если есть много зависимостей или если у вас очень старая версия ядра сайта. Что-то может пойти не так. Но помимо обновления ядра, есть ещё два варианта обезопасить себя:
- Использовать patch для закрытия уязвимостей конкретных версий Drupal.
- Блокировать риск уязвимостей на уровне настроек веб-сервера.
Для того чтобы использовать любой из этих подходов, команда поддержки серверов должна обладать большой квалификацией по работе именно с Drupal. К сожалению, не все хостеры имеют такую возможность (большинство поддерживают "все CMS", что значит - не специализируются ни в одной из них). Мы специализируемся именно на CMS Drupal, а значит можем использовать оба этих подхода. И используем.
Список значимых уязвимостей с начала этого года:
- SA-CORE-2018-004 - выход 25 апреля 2018
- SA-CORE-2018-003 - выход 18 апреля 2018
- SA-CORE-2018-002 - выход 28 марта 2018
- SA-CORE-2018-001 - выход 21 марта 2018
Все из них были закрыты нами в течение 5-15 минут с момента выхода. Ни один из сайтов, находящихся на нашем хостинге не пострадал. Этот результат мы сохраняем уже около 10 лет - за 10 лет работы ни один из сайтов, находящихся на нашем хостинге, не пострадал от вирусов по причине открытых уязвимостей ядра Drupal.
Если у вас нет разработчика, который постоянно отслеживает и поддерживает защиту вашего drupal-сайта и сервера, вы можете перенести ваш Drupal-сайт на наши сервера, для этого просто перейдите на страницу Drupal hosting и выберите любой пакет услуг, и мы сами будем блокировать все уязвимости и в некоторых случаях (когда это необходимо) производить обновление ядра вашего сайта.