Härten und sichern

Das freie CMS Drupal 7 schützen

Praxis & Tipps | Praxis

Mit dem freien Content Management Framework Drupal baut man komplexe Websites mit wenig Programmieraufwand. Aber ohne Wartung wird das System leicht zur Spielwiese für Einbrecher.

Am 15. Oktober 2014 kam das „Drupalgeddon“ über die Community: eine dramatische Sicherheitslücke in der Datenbank-Schnittstelle des Drupal-Kerns. Die Angriffswelle folgte binnen Stunden. Zwei Wochen später veröffentlichte das Drupal-Security-Team eine weitere Warnung: Wer den Patch nicht innerhalb von sieben Stunden nach der Veröffentlichung eingespielt habe, müsse davon ausgehen, dass seine Website gehackt sei. Das Beispiel zeigt: Das Zeitfenster, in dem Administratoren auf neue Bedrohungen reagieren müssen, wird immer kleiner.

Dabei ist Drupal in Sachen Sicherheit noch besser aufgestellt als viele andere Projekte: Der Core und nahezu alle Erweiterungsmodule werden ausschließlich auf drupal.org veröffentlicht und sind in die Update-Mechanismen des CMS eingebunden. Es gibt kaum kommerzielle Module, die nicht von der Drupal-Community gepflegt werden. Das Security-Team nimmt Meldungen neuer Lücken entgegen, sorgt dafür, dass sie geschlossen werden, und koordiniert die Veröffentlichung der Updates. Die gibt es bis drei Monate nach Veröffentlichung des übernächsten Major Release – Drupal-6-Anwender müssen also nach der Veröffentlichung von Drupal 8 updaten, was noch dieses Jahr passieren dürfte. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Anzeige