Zdjęcie główne wpis na bloga - Dlaczego Drupal jest bezpieczniejszy niż inne systemy CMS

Dlaczego Drupal jest bezpieczniejszy niż inne systemy CMS

Drupal
Karolina Gąsior
Karolina Gąsior
15.04.2020

Bezpieczeństwo jest niezwykle istotne dla każdej strony internetowej. W Droptica dbamy o serwisy naszych klientów, aby były zawsze aktualne. Porozmawiajmy o tym, dlaczego tak ważne są aktualizacje rdzenia Drupala i modułów oraz jak nasz zespół wsparcia Drupala pomaga osiągnąć pełne bezpieczeństwo witryny.

Dlaczego tak potrzebne jest aktualizowanie rdzenia i modułów?

Strona internetowa na Drupalu zbudowana jest z rdzenia (Drupal core) i modułów tworzonych przez społeczność. Tak jak dla każdego nowoczesnego systemu, tak i dla Drupala regularnie publikowane są poprawki poprawiające jego bezpieczeństwo. 

W społeczności drupalowej stworzona została specjalna komórka zajmująca się bezpieczeństwem Drupala i modułów. Jeśli okaże się, że jakiś moduł jest podatny na włamanie, zespół security pomaga załatać dziurę oraz organizuje publikację nowej wersji tak, aby wszystkie strony używające modułu mogły go szybko uaktualnić.

Informacja o nowych wersjach jest dostępna na stronie drupal.org. Można też zapisać się na listę mailingową, na której otrzymuje się informację o publikacji łatek bezpieczeństwa modułów utrzymywanych na Drupal.org

Warto aktualizować stronę regularnie

Oczywiście nie wszystkie aktualizacje są krytyczne i nie wszystkie są poprawkami bezpieczeństwa. Drupal i moduły rozwijają się. Ulepszone wersje publikowane są regularnie. Warto więc wykonywać aktualizacje na swojej stronie. Otrzymuje się dzięki temu nowe, ulepszone funkcjonalności, ale też jest się bardziej przygotowanym do ewentualnej poprawki bezpieczeństwa.

Aktualizacje bezpieczeństwa publikowane są zawsze do najnowszej wersji modułów. Jeśli na naszej stronie korzystamy ze starej wersji, będziemy musieli uaktualnić moduł, przeskakując wiele aktualizacji. Często się to udaje, ale takie “duże” aktualizacje nie zawsze przechodzą łatwo i czasem wymagają więcej doświadczenia i pracy. Warto aktualizować moduły regularnie, aby nie natrafiać na niespodzianki i trudności.

Aktualizacje bezpieczeństwa są najważniejsze ze wszystkich i muszą być wprowadzone natychmiastowo. Co więcej, jeśli aktualizacja ma priorytet krytycznej - niektóre z kluczowych funkcjonalności na stronie mogą przestać działać do czasu podniesienia wersji. Część aktualizacji nie jest aż tak ważna, jednakże jeśli nie wprowadzamy sugerowanych zmian stopniowo i regularnie, to istnieje wysokie ryzyko narażenia na ataki hackerskie i występowania różnych problemów podczas późniejszego “podniesienia” wersji po dłuższej przerwie. Konsekwencją tego może być czasowe wstrzymanie działania strony, co ma bezpośredni związek ze stratami finansowymi.

Rekomendujemy, aby aktualizować stronę, jak tylko wyjdzie poprawka bezpieczeństwa, a jeśli takowych akurat nie ma, to zrobić aktualizację raz w miesiącu aby być na bieżąco ze zmianami we wszystkich modułach.

Jakie są sposoby na aktualizację modułów?

Istnieje kilka metod aktualizacji.  

Pierwszą z nich jest wykorzystanie Composera przy użyciu odpowiednich komend. Jest to metoda raczej preferowana. Composer to menadżer pakietów, za pomocą którego można pobierać moduły, skórki i zewnętrzne biblioteki. Jeśli Twoja strona jest zbudowana w oparciu o Composera jest to też rekomendowana dla Ciebie metoda.

Kolejno Drush zestaw skryptów pozwalających zarządzać drupalem z linii komend. Jedna z nich do właśnie aktualizacja.

Trzecia, najłatwiejsza, ale najbardziej żmudna metoda, to manualne pobranie i przesłanie plików do repozytorium, co jest mniej efektywne, ale zdarza się, że czasem konieczne.

Automatyczne aktualizacje

Społeczność Drupala oczekuje z niecierpliwością rezultatów inicjatywy “Automatic Updates”, która umożliwi na automatyczne aktualizacje. Obecnie moduł “Automatic Updates” nie należy jeszcze do rdzenia Drupala, ale funkcjonuje w inicjalnej formie https://drupal.org/project/automatic_updates. Jest kandydatem do wydania w bardzo niedługim czasie jako wersja stabilna.   

Ile czasu zajmuje wdrożenie zmian do modułów?

W Droptica wdrażamy aktualizacje na strony klientów w ciągu jednego dnia, a samo wykonanie aktualizacji zajmuje z reguły do kilku godzin zależnie od stopnia skomplikowania. Czas wykonania wdrożenia jest kluczowy w przypadku stron, na których występuje duży ruch w konkretnych godzinach dnia. Zawsze ustalamy z klientem czas wdrożenia i upewniamy się, że strona będzie działała, a wdrożenie pozostanie bezbolesne i bezpieczne.

Co oferuje zespół Droptica?

Pracując z nami, nie musisz zatrudniać programisty w pełnym wymiarze godzinowym. Nasz zespół cały czas ma na oku pojawiające się w Drupalu zmiany i natychmiast je wprowadza, jeśli tylko zachodzi taka potrzeba.

Posiadamy doświadczenie we wspieraniu stron wielu klientów i tworzymy własne rozwiązania dla niewspieranych już modułów w odniesieniu do wymagań biznesowych.

Jak wygląda proces aktualizacji modułów przez zespół Wsparcia Drupala?

W przypadku publikacji nakładek bezpieczeństwa sprawdzamy, czy moduł do którego wydano aktualizację jest włączony na twojej stronie. Jeśli tak jest, to następnie prosimy cię o pozwolenie na wykonanie i wdrożenie aktualizacji, pytając też o preferowany dzień i godzinę wdrożenia.

Po otrzymaniu zgody na kontynuację, rozpoczynamy development i wprowadzanie zmian do kodu. Nasz proces przewiduje specjalne kroki, jak Code Review (sprawdzanie dla pewności kodu, przez drugiego programistę) i testy przed wdrożeniem, które potwierdzają, że wprowadzenie zmian na stronie nie sprawi kłopotów. Zawsze sprawdzamy kod podwójnie zanim “wyląduje” on na produkcji. Jeśli tylko chcesz, udostępniamy ci nową wersję strony na zautomatyzowanym środowisku testowym podobnym do środowiska produkcyjnego, abyś samodzielnie mógł zobaczyć, jak działa strona po dodaniu zmian.

Gdy już wszystko jest dopięte na ostatni guzik, przygotowujemy się do wdrożenia zgodnie z preferowanym czasem. Zdarza się, że klient z góry ustala dla każdej aktualizacji reguły, aby na przykład wdrażać zmiany zawsze między 7:00 a 10:00 rano.

Co jeszcze możesz od nas otrzymać?

Oprócz aktualizacji modułów oferujemy także inne usługi. Chętnie rozbudujemy twoją aplikację o nowe funkcjonalności i naprawimy dręczące cię błędy - mniej lub bardziej krytyczne. Często pomagamy również przy podnoszeniu wersji PHP i udzielamy konsultacji w sprawie audytów bezpieczeństwa.

Dzięki usłudze wsparcia Drupala możesz w łatwy sposób utrzymać stronę aktualną i nie martwić się o bezpieczeństwo.

Czy jesteś gotowy zadbać o bezpieczeństwo swojej strony?

W ramach wsparcia dla Drupala utrzymujemy istniejące strony internetowe i rozbudowujemy je o nowe funkcjonalności
Sprawdź powiązane artykuły