Как решаются проблемы безопасности Drupal?

В каждой CMS-системе, как и любом другом ПО, есть пробелы, которые рано или поздно проявляются. Главное — своевременно исправлять эти дырки и уведомлять пользователей. Мы расскажем вам, кто поддерживает надежность Drupal и как это работает при появлении уязвимости.

Критическое обновление 2014 года

Одной из последних серьёзных проблем системы стала уязвимость Drupal 2014 года. Тогда была обнаружена критическая проблема высокого уровня, грозящая нарушить работу многих сайтов. Для того чтобы защитить систему, разработчики Друпал в скором времени выпустили обновления безопасности. Таким образом, на сайты вовремя установили защиту. Остальные, не обновившиеся после выпуска рекомендаций, были скомпрометированы атакой многочисленных эксплойтов.

Эксплойты — подвид вредоносных программ, содержащие данные или исполняемый код, который может использовать уязвимости программного обеспечения локального или удаленного компьютера.

Как работает команда безопасности Drupal?

Чтобы исключить успешные атаки злоумышленников, CMS-систему поддерживает большая команда из 40+ человек. Для своевременной поддержки пользователей и устранения уязвимости Drupal Security Team изучают код ядра системы и популярных модулей. Они также создают бюллетени на официальном сайте, в которых пишут обо всех возможных проблемах.

В марте 2018 года Drupal Security Team нашли уязвимость Drupal версии 7 и 8. Специалисты опубликовали информацию о возможной угрозе для пользователей и выставили официальный бюллетень от 28 марта. Они объявили, что патч для этой уязвимости выйдет 11 апреля в 18:00 UTC (21:00 по Москве) для CMS последних версий. Значительный промежуток в 2 недели позволил заранее подготовить сайты к обновлению и спланировать время на работу по установке этого патча.

Патч — программное средство, устраняющее проблемы в программном обеспечении или изменяющее его функционал. «Пропатчивание» - применение патча.

Как только обновление вышло, специалисты «Синапса» в тот же вечер пропатчили наиболее критичные ресурсы. С остальными сайтами мы работали ещё неделю. В итоге эксплойт появился только спустя 2 недели, и к этому времени мы закрыли уязвимость на всех проектах. Наши технические специалисты сработали в два раза быстрей хакеров, попутно структурируя сайты в базе.

Апрельская уязвимость 2018

Новую критическую уязвимость в коде Drupal Security Team обнаружили  13 апреля 2018 года. Как оказалось, этот вопрос был связан с мартовской проблемой. Специалисты немедленно среагировали и пообещали выпустить обновления для системы 25 апреля. Это произошло через две недели, как и в предыдущем случае.

Тщательная подготовка во время первой атаки помогла нашему агентству встретить угрозу во всеоружие. Менее чем за 3 часа мы пропатчили 400 сайтов агентства. И такая скорость оправдала себя: первые атаки с использованием новой уязвимости стартовали через 5 часов после выхода обновлений. Несмотря на то, что хакеры значительно ускорились, мы были готовы. К моменту, когда появился эксплойт, все наши клиенты были надежно защищены от атак.

Важно понимать, что ни одна CMS не может быть на 100% безопасной. Однако выбирая разработчиков, которые заботятся о безопасности своих пользователей, можно быть уверенным в надежности системы. Формат работы Drupal Security Team ежегодно подтверждает это. В то же время наш отдел технической поддержки сайтов компетентен в этих вопросах и проводит все необходимые меры по устранению потенциальных угроз. Хотите узнать больше по этому вопросу— звоните или приходите пообщаться.