Критическая уязвимость WordPress или Drupal. Кто виноват и Что делать?

Критическая уязвимость WordPress или Drupal. Кто виноват и Что делать?

В WordPress® и Drupal™ обнаружена критическая уязвимость, которая касается всех сайтов, использующих версии ниже WordPress 3.9.2 и Drupal 7.31.

Подробно об уязвимости можно почитать здесь.

Мы крайне рекомендуем обновить движок вашего веб-сайта до новой версии. Если этого не сделать, безопасность вашего веб-сайта может быть под угрозой.

Как узнать, какая у вас версия?

Если ваш сайт работает на WordPress, то для большинства шаблонов версия движка отображается в админ панели. Если там версия не видна, вы всегда можете посмотреть ее в файле wp-includes/version.php на вашем FTP.

Рекомендуется использовать версию 3.9.2 или выше.

Если ваш сайт работает на Drupal, Вы можете перейти на страницу отчётов в интерфейсе управления системой, на которой находится информация о текущей версии. Также можно посмотреть файл CHANGELOG.txt в корневой папке Drupal. Ещё один способ, посмотреть первые строчки файла system.module, в начале файла будет примерно такая запись:
define('VERSION', '5.1');

Если найдёте такую запись, то она скажет вам какую версию Drupal вы используете. Если такой записи нет, то у вас Drupal версии 4.7.х или более ранней.
Следует убедиться, что установлена версия 7.31 или выше.

Что делать если версия ниже рекомендуемой?

Здесь приведены инструкции по обновлению WordPress и Drupal.

Обязательно сохраните резервную копию своего веб-сайта, перед тем как обновить CMS.

Уточним, что процесс обновления не всегда прост и может вызвать проблемы с совместимостью обновленной CMS и ранее установленных модулей и плагинов. Для того, чтобы обновление прошло гладко, желательно, чтобы это делалось под контролем разработчика или обслуживающего сайт администратора, которые знают о всех настройках вашей CMS.

Обновление WordPress

В статье мы описываем общий порядок обновления CMS и не будем касаться частных случаев. Если вы используете плагины, которые не входят в WordPress по умолчанию следует ознакомиться с рекомендациями разработчика.

Шаг 1: Замена файлов WordPress
  1. Скачайте резервную копию из панели управления, либо сделайте ее самостоятельно.
  2. Деактивируйте все установленные плагины через административный интерфейс WordPress. Обычно он расположен по адресу: example.com/wp-admin
  3. Скачайте самую свежую версию WordPress c официального сайта: http://ru.wordpress.org/releases/
  4. Подключитесь к хостингу по FTP и удалите старые файлы в директориях wp-includes и wp-admin.
  5. Скопируйте новые файлы WordPress через FTP поверх старых файлов в корневую директорию сайта. Копировать файлы нужно с заменой старых на новые. Если вы используете тему «default» или «classic» и вы вносили в них изменения, вы можете пропустить файлы темы. Директория wp-content требует особого внимания, как и директории plugins и themes. Вы должны скопировать поверх содержимое этих директорий, а не директорию целиком, чтобы сохранить все настройки и добавленное содержимое.

Инструкции для подключения по FTP,


Шаг 2: Обновление вашей установки
Перейдите на главную административную страницу WordPress по адресу /wp-admin.
Возможно, потребуется повторная авторизация.

Если обновление необходимо, WordPress обнаружит это и предложит вам ссылку вроде:
http://example.com/wordpress/wp-admin/upgrade.php

Перейдите по этой ссылке и следуйте дальнейшим инструкциям. База данных обновится для совместимости с новой версией.

Если при обновлении возникли проблемы вы можете поискать решение в статье, где все шаги описаны детально:
https://codex.wordpress.org/Upgrading_WordPress_Extended

А здесь информация об обновлении WordPress, плагинов и тем:
https://wpmag.ru/2013/stoit-li-obnovlyat-wordpress/

Обновление Drupal


В статье будет рассмотрено только минорное обновление Drupal. В рамках одной версии.
Если вам необходимо мажорное обновление, то рекомендуем ознакомится с официальной документацией на сайте Drupal — https://www.drupal.org/documentation

1. Скачайте резервную копию из панели управления, либо сделайте ее самостоятельно.
2. Зайдите на сайт под пользователем с административным правами. Страница входа по умолчанию расположена по адресу: example.com/user


3. Переводим сайт в режим обслуживания. Сделать это можно по адресу admin/config/development/maintenance.


4. Удаляем старые файлы ядра, все кроме директории sites. В этой директории по умолчанию хранятся все пользовательские файлы, темы и модули, а так же файлы настройки. Если в файлы .htaccess или robots.txt вносились изменения, то их лучше оставить или восстановить из бэкапа после обновления.
5. Далее скачиваем последнюю версию ядра Drupal с официального сайта.


6. Размещаем файлы из архива на хостинге.
7. Восстанавливаем из бэкапа .htaccess и robots.txt.
8. Запускаем update.php по ссылке site.ru/update.php. Этот скрипт в случае необходимости внесет изменения в базу данных сайта.


Запускайте файл update.php каждый раз, когда вы обновляете систему, любой дополнительный модуль или дополнительную тему. Запуск этого файла полностью обновит кэш сайта и позволит внести необходимые изменения в базу данных.
9. После обновления по адресу admin/reports/status проверяем все ли работает как надо.


10. Последний шаг — выключаем режим обслуживания.


ГОТОВО!

После обновления ваши сайты будут защищены от данной xml уязвимости.
Рекомендуем вам регулярно обновлять движки своих сайтов до последней версии!

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.