Korzystanie z systemów zarządzania treścią, takich jak Drupal (ale też Joomla i WordPress) jest bardzo wygodne. Oprogramowanie to rozwijane jest od lat, posiada mnóstwo możliwości i zostało sprawdzone w boju przez twórców tysięcy stron WWW. 

Niestety opublikowano właśnie informację, że znaleziono sposób na włamanie się do wszystkich stron opartych na najpopularniejszych wersjach Drupala. Co należy natychmiast z tym zrobić?

Drupal a bezpieczeństwo strony www

Każde oprogramowanie może jednak posiadać błędy. Szczególnie w popularnym oprogramowaniu hackerzy szukają nawet najmniejszych dziur, gdyż ich znalezienie pozwala im na włamania do wielu stron na raz.

Biuletyn Drupal o numerze SA-CORE-2018-002 z dnia 28 marca 2018 roku informuje, że w wersjach 6.x, 7.x oraz 8.x znaleziono lukę bezpieczeństwa, która umożliwia osobie trzeciej wykonanie własnego kodu na cudzej stronie WWW, co pozwala na całkowite jej skompromitowanie.

Podatność ta jest oznaczona jako wysoce krytyczna. Co prawda nie ma jeszcze informacji o masowych włamaniach przy użyciu tej luki, ale jest to tylko kwestia czasu.

Niestety takie incydenty obserwujemy dość często na serwerach, którymi administrujemy.

Właściciele stron często lekceważą monity wyświetlane przez oprogramowanie, informujące o konieczności aktualizacji. Często powód jest prosty – aktualizacje psują działanie starszych komponentów lub też proces aktualizacji jest zbyt skomplikowany.

Hackerzy wykorzystują luki bezpieczeństwa do różnych celów. Uzyskanie nieautoryzowanego dostępu pozwala na:

  • Rozesłanie spamu z Twojej domeny. Spamer zareklamuje oferowany przez siebie produkt, który niekoniecznie chcesz, aby znalazł się w Twojej ofercie (leki na potencję, sprośne zdjęcia, oszukańcze serwisy). Dodatkowo Twój adres znajdzie się na czarnych listach, co utrudni Ci korespondencję z kontrahentami.
  • Podmianę treści na stronie. Zamiast Twojej oferty znajdzie się tam farma linków lub nielegalna zawartość.
  • Utrata danych. Hacker może po prostu usunąć wszystkie pliki.
  • Wyciek danych. Jeśli Twoja strona zbiera dane osobowe Twoich użytkowników lub klientów, a dane te staną się dostępne publicznie, może Ci grozić nawet odpowiedzialność karna.

Więcej informacji na temat bezpieczeństwa strony www i tego na co warto zwrócić uwagę w 2018 roku znajdziesz w tym artykule.

Mam stronę na Drupalu – co robić?

Zainstaluj jak najszybciej łatki bezpieczeństwa wydane dla Twojej wersji Drupala. Jeśli korzystasz z bardzo starej wersji, niezbędna może być nawet instalacja od nowa. Niemniej Drupal podszedł bardzo poważnie do sprawy, wydając łatki do wersji 7.x, 8.3, 8.4 oraz 8.5.

Nie chcę lub nie mogę aktualizować samemu – czy możecie pomóc?

Jeśli nie wiesz jak to zrobić samodzielnie lub obawiasz się że aktualizacja uszkodzi Twoją stronę WWW, skorzystaj z naszej usługi usuwanie wirusów i zabezpieczanie stron WordPress, Joomla, Drupal.

Usługa ta przeznaczona jest nie tylko dla właścicieli stron, które już zostały zhackowane. Polecamy ją każdemu serwisowi opartemu o WordPressa, Joomlę czy Drupala – w ramach niej wykonujemy niezbędne aktualizacje i dajemy gwarancję bezpieczeństwa. Zapraszamy.

Aktualizacja Drupal 27 kwietnia 2018 roku

Niestety Drupal ogłosił, iż ponownie wykryto kolejną krytyczną podatność w tym systemie CMS. Z dniem 25 kwietnia wydano kolejne wersje, łatające kolejne luki. Dodatkowe informacje pod adresem: https://www.drupal.org/sa-core-2018-004.

Użytkownicy Drupal wersji 7.x, konieczna aktualizacja do Drupal 7.59.
Użytkownicy Drupal wersji 8.5.x, konieczna aktualizacja do Drupal 8.5.3.
Użytkownicy Drupal wersji 8.4.x,  konieczna aktualizacja do Drupal 8.4.8

Komentarze