Друпал и безопасность. Защита сайта от взлома

Из диалога с разработчиком под Drupal:

- Дык это... А тебя не напрягает, что можно банальным добавлением большого текста обрушить базу данных в Друпале?
- Ну и что? Глюк не такой уж частый!
- А то, сколько дыр в Друпале - задокументированных год назад, но до сих пор не залатанных?
- Нужно закрывать по ip доступ логина в админку, на сервер, на фтп и будет тебе счастье!
- А если виртуальный хостинг? Сломают соседа и привет!
- Не заводи виртуала, бери дедик!
- Но если все закрыть, то юзеры не смогут ни регистироваться, ни тем более свои статьи размещать на сайте. Как крупные сайты решают эту проблему?
- Ты что, дурак? Серьезные сайты, где юзеры постят новости, на друпале не работают. На друпале статика, под поисковики только делается. Ну и школьники.

Смешной диалог, причем полностью правдивый.

Покопавшись немного, я убедился в том, что на СMS типа Drupal действительно создаются в основном сайты-визитки фирм (визитка - не значит того, что сайт одностраничный) без малейшего взаимодействия с аудиторией. Что, впрочем, оправдано: контакт с аудиторией там неуместен, излишен. Вторая категория - проекты новичков с названиями "Это самый крутой сайт в сети обо всем самом крутом в сети!!!" со сроком жизни 6-8 месяцев. Третья категория, самая актуальная - рекламные сайты: сайт фирмы-разработчика сайтов. Сайты разрабатываются на Друпале: и бесплатно, и делать ничего не нужно (один раз сделать набор модулей и шпарь сайты по одному лекалу). Вот тут хотя бы объективная необходимость в Друпале есть.

Заказала фирма "ООО Улыбка" сайт с ярким дизайном, заплатила 60 тысяч рублей и получила стандартный набор модулей друпала и бесплатную тему дизайна. И даже "движок есть с админкой", все новости секретарь добавляет, не нужно платить деньги программистам! Все довольные расстаются, счастливые. Поставили Друпал определенной версии, хорошо если обновленный. Все же совсем уж очевидные дыры время от времени разработчики Друпала латают, обновления выкатывают... Вот только никто в "ООО Улыбке" не обучен эти обновления "накатывать" на сайт. Ну и соответственно, через полгодика, когда об этих дырах будет написано на каждом "хакерском" форуме и будут сделаны готовые скрипты, которые позволяют при помощи этих дыр ломать Друпал, сайт "ООО Улыбки" будет сломан и вместо сайта покажут порно баннеры или вирусы начнут рассылать.

А вроде бы никто и не виноват. В "Улыбке" доверились разработчикам, те - думали только о том, как сайт сделать и сдать его поскорее, чтобы закрыть договор. Как говорит моя знакомая - "и досвидос".

Да ладно бы на Друпале выходили обновления, которые нужно было бы лишь регулярно применять. Вот, к примеру, ситуация с текущим апдейтом. Появился апдейт с 6.22 до 6.24. Угу, и первые попытавшиеся обновиться получают белый экран с ошибкой

"Call to undefined function locale_inc_callback()"

Ну затем, натурально, на всех форумах появляются топики "Call to undefined function locale_inc_callback()" during 6.22 -> 6.24 upgrade" и там пользователи пытаются понять, а в чем же проблема-то? Выясняется, что половина обновлений проходит нормально, половина - с критическим сбоем. В данном конкретном случае пострадали, как это ни смешно звучит, владельцы нативных, т.е. англоязычных версий Друпала, которые не включали у себя модуль locale - чтобы очередное обновление безопасности этого скрипта сработало, нужно иметь обязательно установленным этот модуль (необходимый для создания иностранных сайтов). Оченно удобно 🙂

Добавить комментарий