Чому ваш сайт на Drupal 5 чи 6 не є безпечним — блог Drudesk
050 640 98 44
support@drudesk.com

Чому ваш сайт на Drupal 5 чи 6 не є безпечним

Час від часу кожна компанія стикається з проблемою: її вебсайт стає застарілим. Це може стосуватися дизайну, коду, оновлення ядра чи чогось ще. Найболючішим є питання вразливості — застарілі сайти зламуються хакерами частіше. Дехто аутсорсить програмістів, щоб ті підтримували сайт, — і все гаразд. Однак трапляються й інші випадки, коли про безпеку не дбають...

Привіт, це — Павло Верещанський. Він у торгівлі собаку з’їв — з діда-прадіда продає якісну фермерську продукцію по всій Україні. Не те щоб він шалено любив таке заняття, але це сімейний бізнес, у який пан Павло вкладає душу.

Він має кілька крамничок, куди збуває свою продукцію, однак основний його прибуток надходить від електронної комерції: люди купують свіженькі органічні продукти, м’ясо і молоко, в Інтернеті, а потім їм достявляють товари прямісінько додому. Доставка завжди вчасна. Товари — чудові.

Однак минулого тижня сімейний бізнес трохи струсонуло: хтось зламав сайт пана Павла і вкрав імена його клієнтів, кредитні картки, телефонні номери й іншу інформацію.

Пан Павно дуже лютував. Він був готовий когось убити. Але замість цього довелося засукати рукави і вирішувати проблему зламу сайту.

Навіть Drupal помиляється

Першим ділом пан Павло сконтактував програмістів, які писали йому сайт, і звинуватив їх у всьому на світі. Програмісти ж тільки пожали плечима: треба було замовляти підтримку сайту. І пояснили, у чому проблема.

Так, сайт пана Павла був створений на системі Друпал 5. Її представили у 2007, й на той час пан Павло був дуже крутим. У 2015 всі сайти пишуть на Друпал 7.41, чекаючи на реліз восьмої версії, адже кожна наступна є кращою, ніж попередня. Зокрема, розвиваються заходи безпеки і додаються нові модулі (програми, які розширяють можливості сайту). Сьомий Друпал був у кілька разів сильнішим, ніж версія, на якій створили сайт пана Павла.

Плюси сьомого ядра, порівняно з попередніми версіями, такі:

  • новий програмний інтерфейс застосунку, який має справу з базою даних; це усуває ймовірність втручання у мову програмування реляційної бази даних;
  • удосконалені алгоритми хешування - перетворення будь-якої інформації у код, який читають машини; хешування стосується посилення сайту як такого, а не попередження атак;
  • попередження грубих атак хакерів;
  • поради щодо зміни старих паролів на нові;
  • модуль для оновлення старих плагінів після релізу нових версій.

Порівняно з сьомим Друпалом, 5 версія була більш вразливою до атак хакерів і не мала такої кількості модулів. Це як дірява рукавичка — можна спробувати її зашити, але це не на завжди.

Оновлення друпалівського ядра

Перше, що спало на думку пану Павлу після розмови з програмістами, було напхати у старий сайт різних модулів для безпеки - на його думку, це мало би бути дешевше, бо ж не треба було платити за все заново.

Однак такі ідеї мали небагато спільного з реальністю — не так і просто розрулити сайт на п’ятому ядрі. Деякі моменти можна профіксити, але все одно це не буде панацеєю — нові релізи містять кращі можливості. Іноді навіть доводиться писати сайт з нуля. Програмісти запропонували пану Павлу оновити ядро або розробити новий вебсайт.

Врешті-решт зійшлися на тому, що ядро буде оновлене до Друпал 7.41.

Навіть більше, виникло багато плагінів для захисту сайту: Mollom, який захищає його від спаму, інструмент Security Review для аналізу безпеки сайту, сильніша Captcha (та набридлива штука, яка постійно просить вибрати картинки чи надрукувати текст, щоб показати, що ви не робот), Secure Pages Hijack Prevention і так далі. Оскільки Друпал вважається однією з найбезпечніших систем для створення сайтів, модулів є багато. Деякі з них були встановлені на новому сайті.

У результаті роботи програмістів, пан Павло отримав оновлений сайт, який був у кілька разів сильнішим, ніж попередній — з захистом від злому, оновленим ядром, багатьма модулями й іншими удосконаленими налаштуваннями. Разом із тим, він швидко завантажувався й мав привабливіший дизайн.

Пан Павло відтоді замовляв підтримку сайту і більше не морочив голову тим, як він працює — професіонали забезпечували його підтримку.

Тож як завершуються всі казки — жили вони довго і щасливо. Бажаємо вам не повторювати помилок пана Павла і замовити підтримку сайту у перевіреної команди. Ми вам із радістю допоможемо!