1 min. de lecture | 30 octobre 2014

Drupalgeddon - une leçon à retenir

Le 15 octobre, une annonce de sécurité à été publiée sur le site du CMS Drupal. Une faille d'injection SQL avait été découverte et une mise à jour publiée. L'avantage de ce genre d'annonces, c'est qu'elles permettent à tous les administrateurs de sites Web utilisant ce CMS de pouvoir mettre à jour rapidement leur site. Le désavantage est que cela met la puce à l'oreille aux personnes malintentionnées qui souhaiteraient mettre à profit cette vulnérabilité.

Quelques heures plus tard, les premières attaques automatisées commençaient. Les grands hébergeurs l'ont remarqué, comme Pantheon et Acquia qui ont rapidement déployés des mesures de protection s'appliquant à tous les sites Drupal hébergés sur leur plateforme. Le fournisseur de CDN Cloudflare a lui aussi activé, au niveau de son réseau, des protections (uniquement pour les clients payants).

Mais qu'en est-il des autres sites ? Ces sites qui ne sont ni maintenus par un administrateur système réactif, ou dont le webmaster ne sait que faire des mails qu'il reçoit tous les jours lui demandant de mettre à jour son site ? Ces sites qui ne sont pas hébergés sur une plateforme sécurisée ou abrités derrière un CDN ? La mise à jour est simple à effectuer, elle est décrite sur drupal.org. Le plus simple est la commande drush, mais si votre hébergeur ne vous fournit ni accès SSH (il y en a !) ni d'alias drush, il vous faut copier les fichiers via FTP.

Dans tous les cas, nous sommes là pour partager vos expériences, bonnes ou mauvaises ! Que ce soit pour mettre à jour le site ou changer d'hébergeur, contactez-nous !

Nouveau call-to-action