Drupal härten

27.03.2015 11:54

Bis am 15. Oktober 2014 galt Drupal als eines der sichersten CMS. Die Sicherheitslücke , die unter „Drupalgeddon“ bekannt wurde erschütterte die Community. Das Drupal Scurity Team machte auf die Sicherheitslücke aufmerksam und stellte gleichzeitig ein Sicherheitsupdate zur Verfügung. Betroffen von der Sicherheitslücke waren alle Drupal 7 Versionen vor 7.32.

Die schnelle Reaktion des Security Teams zeigt, dass Reaktionszeiten auf neue Bedrohungen immer kleiner werden. Wer das Sicherheitsupdate nicht vorgenmommen hat, lief Gefahr, dass seine Seite mit Schadcode infiziert wurde.

Nachfolgend einige Tipps, gestützt auf den Artikel in der Ausgabe der c't 04/2015.

Sicherheit – einige Tipps

  • Das Modul „Security Review“ testet die Sicherheit und Konfiguration Ihrer Drupal-Installation. Anhand der Ergebnisse der Überprüfung können Sie Ihr CMS Optimieren.
  • Vergewissern Sie sich, dass der Benutzer den Schreibzugriff nur auf den Ordner /sites/default/files hat, den hier werden seine Daten hochgeladen. 
  • Schreibrechte für PHP-Scripts sind nicht zu empfehlen.
  • "Never hack the core“ – verändern Sie das Kernsystem nicht. Bauen Sie Hooks in Ihre Module.
  • Trennen Sie strickt Themes von Modulen.

Updates

Das Modul „Update“ benachrichtigt den Administrator sobald Updates von Core und Modulen zur Verfügung stehen. Legen Sie dafür unter der URL /admin/reports/updates fest, dass Dupal täglich nach neuen Sicherheitsupdates sucht. 

Damit der Administrator nicht die Übersicht über Updates verliert, wurde von Drupal der „Patchday“ eingeführt. Sicherheitsupdates werden jeden dritten Mittwoch des Monats veröffentlicht, Module jeden Mittwoch. Um Up-to-Date zu bleiben, verfolgen Sie Drupals Twitter Stream oder die Mailing List des Drupal-Security-Teams.

Bei webstyle haben Sie mehrere Möglichkeiten Ihr Drupal upzudaten:

  • Upload der Update-Dateien
  • Über das Control-Panel
  • Über die Kommandozeile mit drush

Beachten Sie, dass Sicherheitsupdates von Core und Modulen nicht immer im Zusammenspiel stattfinden. Daher ist ein Backup der Datenbank vor dem Update zu empfehlen. Sollte jedoch etwas schief gehen – kontaktieren Sie uns. Selbstverständlich werden von webstyle täglich und örtlich getrennte Backups Ihrer Web- und Datenbankdaten gemacht.

Wir erstellen im Rahmen der Hosting Leistung nebst den täglichen auch wöchentliche und monatliche Backups, die örtlich getrennt werden: Die Versicherung für die Daten-Wiederherstellung, sollte Drupalgeddon II die Web-Welt erschüttern.

Bewertung:

0 Kommentare

Schreiben Sie einen Kommentar zu dieser Seite

Antwort auf: Direkt auf das Thema antworten

2587 + 5
Google+ aktivieren