Критическая уязвимость WordPress или Drupal. Кто виноват и Что делать?
Критическая уязвимость WordPress или Drupal. Кто виноват и Что делать?
В WordPress® и Drupal™ обнаружена критическая уязвимость, которая касается всех сайтов, использующих версии ниже WordPress 3.9.2 и Drupal 7.31.
Подробно об уязвимости можно почитать здесь.
Мы крайне рекомендуем обновить движок вашего веб-сайта до новой версии. Если этого не сделать, безопасность вашего веб-сайта может быть под угрозой.
Рекомендуется использовать версию 3.9.2 или выше.
Если ваш сайт работает на Drupal, Вы можете перейти на страницу отчётов в интерфейсе управления системой, на которой находится информация о текущей версии. Также можно посмотреть файл CHANGELOG.txt в корневой папке Drupal. Ещё один способ, посмотреть первые строчки файла system.module, в начале файла будет примерно такая запись:
Если найдёте такую запись, то она скажет вам какую версию Drupal вы используете. Если такой записи нет, то у вас Drupal версии 4.7.х или более ранней.
Следует убедиться, что установлена версия 7.31 или выше.
Обязательно сохраните резервную копию своего веб-сайта, перед тем как обновить CMS.
Уточним, что процесс обновления не всегда прост и может вызвать проблемы с совместимостью обновленной CMS и ранее установленных модулей и плагинов. Для того, чтобы обновление прошло гладко, желательно, чтобы это делалось под контролем разработчика или обслуживающего сайт администратора, которые знают о всех настройках вашей CMS.
Инструкции для подключения по FTP,
Возможно, потребуется повторная авторизация.
Если обновление необходимо, WordPress обнаружит это и предложит вам ссылку вроде:
http://example.com/wordpress/wp-admin/upgrade.php
Перейдите по этой ссылке и следуйте дальнейшим инструкциям. База данных обновится для совместимости с новой версией.
Если при обновлении возникли проблемы вы можете поискать решение в статье, где все шаги описаны детально:
https://codex.wordpress.org/Upgrading_WordPress_Extended
А здесь информация об обновлении WordPress, плагинов и тем:
https://wpmag.ru/2013/stoit-li-obnovlyat-wordpress/
В статье будет рассмотрено только минорное обновление Drupal. В рамках одной версии.
Если вам необходимо мажорное обновление, то рекомендуем ознакомится с официальной документацией на сайте Drupal — https://www.drupal.org/documentation
1. Скачайте резервную копию из панели управления, либо сделайте ее самостоятельно.
2. Зайдите на сайт под пользователем с административным правами. Страница входа по умолчанию расположена по адресу: example.com/user
3. Переводим сайт в режим обслуживания. Сделать это можно по адресу admin/config/development/maintenance.
4. Удаляем старые файлы ядра, все кроме директории sites. В этой директории по умолчанию хранятся все пользовательские файлы, темы и модули, а так же файлы настройки. Если в файлы .htaccess или robots.txt вносились изменения, то их лучше оставить или восстановить из бэкапа после обновления.
5. Далее скачиваем последнюю версию ядра Drupal с официального сайта.
6. Размещаем файлы из архива на хостинге.
7. Восстанавливаем из бэкапа .htaccess и robots.txt.
8. Запускаем update.php по ссылке site.ru/update.php. Этот скрипт в случае необходимости внесет изменения в базу данных сайта.
Запускайте файл update.php каждый раз, когда вы обновляете систему, любой дополнительный модуль или дополнительную тему. Запуск этого файла полностью обновит кэш сайта и позволит внести необходимые изменения в базу данных.
9. После обновления по адресу admin/reports/status проверяем все ли работает как надо.
10. Последний шаг — выключаем режим обслуживания.
ГОТОВО!
После обновления ваши сайты будут защищены от данной xml уязвимости.
Рекомендуем вам регулярно обновлять движки своих сайтов до последней версии!
В WordPress® и Drupal™ обнаружена критическая уязвимость, которая касается всех сайтов, использующих версии ниже WordPress 3.9.2 и Drupal 7.31.
Подробно об уязвимости можно почитать здесь.
Мы крайне рекомендуем обновить движок вашего веб-сайта до новой версии. Если этого не сделать, безопасность вашего веб-сайта может быть под угрозой.
Как узнать, какая у вас версия?
Если ваш сайт работает на WordPress, то для большинства шаблонов версия движка отображается в админ панели. Если там версия не видна, вы всегда можете посмотреть ее в файле wp-includes/version.php на вашем FTP.Рекомендуется использовать версию 3.9.2 или выше.
Если ваш сайт работает на Drupal, Вы можете перейти на страницу отчётов в интерфейсе управления системой, на которой находится информация о текущей версии. Также можно посмотреть файл CHANGELOG.txt в корневой папке Drupal. Ещё один способ, посмотреть первые строчки файла system.module, в начале файла будет примерно такая запись:
define('VERSION', '5.1');Если найдёте такую запись, то она скажет вам какую версию Drupal вы используете. Если такой записи нет, то у вас Drupal версии 4.7.х или более ранней.
Следует убедиться, что установлена версия 7.31 или выше.
Что делать если версия ниже рекомендуемой?
Здесь приведены инструкции по обновлению WordPress и Drupal.Обязательно сохраните резервную копию своего веб-сайта, перед тем как обновить CMS.
Уточним, что процесс обновления не всегда прост и может вызвать проблемы с совместимостью обновленной CMS и ранее установленных модулей и плагинов. Для того, чтобы обновление прошло гладко, желательно, чтобы это делалось под контролем разработчика или обслуживающего сайт администратора, которые знают о всех настройках вашей CMS.
Обновление WordPress
В статье мы описываем общий порядок обновления CMS и не будем касаться частных случаев. Если вы используете плагины, которые не входят в WordPress по умолчанию следует ознакомиться с рекомендациями разработчика.Шаг 1: Замена файлов WordPress
- Скачайте резервную копию из панели управления, либо сделайте ее самостоятельно.
- Деактивируйте все установленные плагины через административный интерфейс WordPress. Обычно он расположен по адресу: example.com/wp-admin
- Скачайте самую свежую версию WordPress c официального сайта: http://ru.wordpress.org/releases/
- Подключитесь к хостингу по FTP и удалите старые файлы в директориях wp-includes и wp-admin.
- Скопируйте новые файлы WordPress через FTP поверх старых файлов в корневую директорию сайта. Копировать файлы нужно с заменой старых на новые. Если вы используете тему «default» или «classic» и вы вносили в них изменения, вы можете пропустить файлы темы. Директория wp-content требует особого внимания, как и директории plugins и themes. Вы должны скопировать поверх содержимое этих директорий, а не директорию целиком, чтобы сохранить все настройки и добавленное содержимое.
Инструкции для подключения по FTP,
- если вы пользователь панели https://support.infobox.ru/ инструкции расположены здесь — http://help.infobox.ru/11-31
- если вы пользователь панель https://panel.infobox.ru инструкции здесь – https://helpdesk.infobox.ru/Knowledgebase/List/Index/40
Шаг 2: Обновление вашей установки
Перейдите на главную административную страницу WordPress по адресу /wp-admin.Возможно, потребуется повторная авторизация.
Если обновление необходимо, WordPress обнаружит это и предложит вам ссылку вроде:
http://example.com/wordpress/wp-admin/upgrade.php
Перейдите по этой ссылке и следуйте дальнейшим инструкциям. База данных обновится для совместимости с новой версией.
Если при обновлении возникли проблемы вы можете поискать решение в статье, где все шаги описаны детально:
https://codex.wordpress.org/Upgrading_WordPress_Extended
А здесь информация об обновлении WordPress, плагинов и тем:
https://wpmag.ru/2013/stoit-li-obnovlyat-wordpress/
Обновление Drupal
В статье будет рассмотрено только минорное обновление Drupal. В рамках одной версии.
Если вам необходимо мажорное обновление, то рекомендуем ознакомится с официальной документацией на сайте Drupal — https://www.drupal.org/documentation
1. Скачайте резервную копию из панели управления, либо сделайте ее самостоятельно.
2. Зайдите на сайт под пользователем с административным правами. Страница входа по умолчанию расположена по адресу: example.com/user
3. Переводим сайт в режим обслуживания. Сделать это можно по адресу admin/config/development/maintenance.
4. Удаляем старые файлы ядра, все кроме директории sites. В этой директории по умолчанию хранятся все пользовательские файлы, темы и модули, а так же файлы настройки. Если в файлы .htaccess или robots.txt вносились изменения, то их лучше оставить или восстановить из бэкапа после обновления.
5. Далее скачиваем последнюю версию ядра Drupal с официального сайта.
6. Размещаем файлы из архива на хостинге.
7. Восстанавливаем из бэкапа .htaccess и robots.txt.
8. Запускаем update.php по ссылке site.ru/update.php. Этот скрипт в случае необходимости внесет изменения в базу данных сайта.
Запускайте файл update.php каждый раз, когда вы обновляете систему, любой дополнительный модуль или дополнительную тему. Запуск этого файла полностью обновит кэш сайта и позволит внести необходимые изменения в базу данных.
9. После обновления по адресу admin/reports/status проверяем все ли работает как надо.
10. Последний шаг — выключаем режим обслуживания.
ГОТОВО!
После обновления ваши сайты будут защищены от данной xml уязвимости.
Рекомендуем вам регулярно обновлять движки своих сайтов до последней версии!
0 комментариев