Zabezpieczenie i aktualizacje Drupal

Drupal to zaawansowany system zarządzania treścią, chętnie wykorzystywany przy tworzeniu rozbudowanych serwisów, zaawansowanych e-sklepów i stron internetowych o dużym natężeniu ruchu. Został wyposażony w wiele użytecznych modułów, dzięki którym jest wydajny i efektywny. Jak jednak kształtują się w jego przypadku kwestie bezpieczeństwa?

Groźny błąd – jak się przed nim ustrzec?

Chociaż Drupal nie jest tak popularny jak WordPress, jego stosowanie przy budowie zaawansowanych i często odwiedzanych stron internetowych, sprawia, że system ten jest przedmiotem działań hackerskich oraz ataków złośliwego oprogramowania. Dodatkowo może zawierać błędy, które zagrażają bezpieczeństwu postawionych na nim serwisów.

Tak jest w przypadku błędu, który pozwala na wykonanie bez autoryzacji dowolnego kodu przez każdego użytkownika sieci. Dotyczy on Drupala w wersjach z linii 6, 7 i 8. Co w praktyce oznacza ten błąd? Otóż daje on niepożądanym osobom możliwość edycji strony internetowej, pobierania określonych danych, wykonywania infekcji malware, wysyłanie spamu, a nawet całkowitego zniszczenia witryny. Z tego względu został on zakwalifikowany przez twórców systemu jako błąd krytyczny (highly critical, otrzymana nota 21/25). Jak się przed nim ustrzec?

W przypadku linii 6. możemy pobrać patch. Jeżeli jednak mamy taką możliwość, warto całkowicie zrezygnować z tej linii. Przestała ona być bowiem wspierana przez twórców Drupala, przez co może być podatna na inne zagrożenia, czego na pewno chcemy uniknąć.

Jeżeli zaś używamy linii 7. lub 8., warto dokonać aktualizacji systemu do wersji co najmniej 7.5.8 lub 8.5.1. Warianty te są bowiem wolne od błędu. Pamiętajmy, że atak tego typu jest bardzo prosty do przeprowadzenia. Nie wymaga bowiem żadnego uwierzytelnienia. Warto zatem jak najszybciej się przed nim zabezpieczyć.

Niezależnie od tego, jakiej wersji systemu używamy, przed dokonaniem aktualizacji należy wykonać kopię bezpieczeństwa witryny. Jeżeli w trakcie wykonywania procedury coś pójdzie nie tak, zawsze będziemy mogli powrócić do ostatnio działające,j prawidłowej wersji naszej strony internetowej.

W przypadku niektórych wersji Drupala 8.0 (w tym m.in. 8.0, 8.1 i 8.2) również zdiagnozowano pewne luki w zabezpieczeniach, które mogą mieć negatywny wpływ na naszą witrynę. Warto zatem jak najszybciej zaktualizować skrypt do wersji 8.3.9 lub 8.4.6, a następnie stopniowo przygotowywać stronę internetową do dalszych aktualizacji i systematycznie je wykonywać. Takie działanie uchroni nas przed atakami hackerskimi i ich nieprzyjemnymi konsekwencjami.

Co zrobić, jeżeli witryna została zhackowana?

Jeżeli zauważymy symptomy świadczące o tym, że nasza strona internetowa została zhackowana, jak najszybciej działajmy. Co jednak należy zrobić w takiej sytuacji? W pierwszej kolejności powinniśmy zlokalizować i usunąć te pliki, które zostały zainfekowane wirusem lub innym złośliwym oprogramowaniem. Następnie, jak zostało wspomniane, warto wykonać kopię zapasową witryny. To bardzo ważne, jeżeli chcemy zabezpieczyć zgromadzone dane przed ich ewentualną utratą w trakcie aktualizacji.

W dalszym kroku należy zaktualizować skrypt do najnowszej wersji, która jest chroniona przed zagrożeniami z sieci. Jeżeli ze względów technicznych nie jesteśmy w stanie przeprowadzić procedury, powinniśmy tymczasowo zastąpić stronę internetową Drupal statyczną stroną HTML. Jest to działanie zapobiegawcze, które ochroni witrynę przed złośliwym oprogramowaniem. Na koniec warto wykonać kompleksowy audyt bezpieczeństwa serwisu. Najlepiej niech zrobi to firma zewnętrzna. Dzięki temu upewnimy się, że niczego nie przeoczyliśmy.

Jak przeciwdziałać atakom hackerskim?

Nie od dzisiaj wiadomo, że lepiej zapobiegać niż leczyć. Zasada ta tyczy się również bezpieczeństwa stron internetowych tworzonych w Drupalu. Jak zatem przeciwdziałać atakom złośliwego oprogramowania? Oto kilka rad.

1. Systematycznie przeglądaj zabezpieczenia. Dzięki temu w porę zorientujemy się, które konfiguracje są słabe, zwiększając tym samym ryzyko ataku.

2. Stosuj 2 Factor Auth. To narzędzie pozwoli zwiększyć bezpieczeństwo logowania.

3. Zobliguj użytkowników i administratorów strony internetowej do podawania bardziej skomplikowanych haseł. W tym celu można zastosować wymuszanie minimalnej siły hasła. To niezwykle praktyczne rozwiązanie, które pozwala zwiększyć bezpieczeństwo witryny.

Niezależnie od tego, jak dobrze jest rozwinięty CMS, może stać się przedmiotem ataku hackerskiego. Dotyczy to również Drupala. Zawsze jednak możemy uchronić się przed złośliwym oprogramowaniem poprzez systematyczne wykonywanie aktualizacji oraz stosowanie wskazanych wyżej środków bezpieczeństwa. Wówczas zmniejszymy ryzyko wrogiego przejęcia naszej witryny.