Wie sicher ist Drupal?

Lese ich das richtig? Drupal 4.76? Das kann nicht sein. Die letzte Version für Drupal 4 war 4.7.11. Die wird aber bereits seit über 6 Jahren nicht mehr unterstützt. Also gibt es dafür auch keine Sicherheitsupdates mehr. Das ist mit an Sicherheit grenzender Wahrscheinlichkeit unsicher, zumal dafür auch eine alte PHP-Version notwendig ist.
Jedes CMS braucht eine regelmäßige Wartung, also nicht nur Drupal. Wer das nicht macht, handelt in meinen Augen grob fahrlässig. Wer das nicht will, sollte die Seite mit einem Webcrawler auf das HTML reduzieren und dann als statische HTML-Seite weiterbetreiben. Da kann dann nicht mehr passieren.

Von welchen Aktualisierungen sprichst du denn? Wie wla schreibt kann es doch seit Jahren gar keine mehr geben?

Meinst du wirklich die 4 er Version?

Falls ja, mach deinem Kunden klar das Drupal ( und jedes andere CMS) genauso gepflegt werden muß wie sein Auto, das verstehen die meistens.

Da das Web und die Technik sich nicht rückwärts entwickelt, gehören regelmäßige Updates dazu und sollten auch in einer Pflegepauschale monatlich /jährlich oder sonstwie einkalkuliert werden. Wer das nicht will, bekommt vollen Admin Zugang bei Übergabe und unterschreibt die komplett lauffähige Abnahme, damit du als Entwickler auch aus der Haftung raus bist.

Da du schreibst "Argumentationshilfe" vermute ich dein Kunde stellt jetzt Ansprüche? Guck dir erstmal genau den damaligen Vertrag an was der für Klauseln enthält.

Und zu deiner eigentlichen Frage: Drupal ist sehr sicher bei guter Pflege und sinnvoller Modulplanung, aber 100% gibt es nicht, denk mal an die riesen Unternehmen die in den letzten Jahren gehackt wurden.

Grüße Jenna

Hallo ,

@wla
Sorry, das war ein Fehler in der Version
Ich habe 7.26 deutsch installiert.

@Jenna:
Natürlich muß drupal regelmäßig geupdatet werden, weiß ich. Jede Software muss das.

Es geht um keine Kundenreklamation, sondern um ein Machtgerangel in einer Interessengemeinschaft.
Bei Kunden hat man in der Regel einen Vertrag, in dem alles geregelt wird. Stellt man aber kostenlos seine Arbeitskraft
zur Verfügung, gibt es in der Regel keine Verträge.

In meinem Fall passt jemandem nicht, dass er sein Status als Allwissender Internetkönner verliert. Unter ihm hatte die Gemeinschaft seit Jahren nur eine statische Seite, die nur von ihm gepflegt werden konnte. Alle anderen
mußten bitte, bitte machen, wenn sie etwas auf die Seite stellen wollten. Gleichzeitig zensierte dieser Mensch auch noch alles, was von dem Inhalt auf die Seite durfte. Echt krass.
Um die daraus entstehenden Spannungen aufzulösen, kam Drupal. Die meisten der Führungsriege sind glücklich (leider nicht die Mehrheit), dass sie selbst etwas auf der Website veröffentlichen können. Nur stehe ich jetzt völlig in der Schusslinie des Allwissenden. Ohne Vertrag ist man dumm dran. Da brauche ich gute Argumente, denke ich.

Schwachstellen gegen Hackattacken sind sein bevorzugtes Schussargument.
Wo muss bei Drupal 7.46 zur Zeit gut aufgepaßt werden?
Den Schwachpunkt Up/Download-Verzeichnisse der User, den ich über Drupal gelesen habe, kannte ich schon von dem CMS-Contenido. Langen die von mir erwähnten htaccess-Schutzmaßnahmen bei Drupal oder ist das alles Schnee von gestern?

Regelmäßige Updates: Drupal hat einen Aktualisierung-Cron. Sorgt der nicht für regelmäßige Updates der jeweiligen Version?

Sorry für den Fehler

Wiebke

Oder vielleicht doch Drupal 7.26 ?

Grüße Jenna

Kennst Du die Studie des BSI zu den Content Management Systemen? Da wird Drupal in Bezug auf Sicherheit sehr gut bewertet. Das sollte doch eine gute Argumentationshilfe sein.

Bitte überschreibe keine vorhandenen Threads, sonst fehlt der Zusammenhang zum nächsten Beitrag.......

Das gilt nicht für Core Updates, zudem sollte man die Funktionsfähigkeit und das Zusammenspiel aller Module (Backup vor Update) nach dem Update testen.

Um was für eine Art Seite handelt es sich denn, habt ihr so wichtige Daten (Zahlmodule, Kreditkarten.... etc..) in Betrieb oder rein Text / Bild Informationen?
Bei den meisten Hostern liegt immer parallel ein Backup vor und automatische Backups können wöchentlich oder auf Knopfdruck erstellt werden.

Sollte die Seite wirklich gehackt werden, spielt man das letzte lauffähige Backup zurück und wertet die Schwachstellen aus um sie zu beheben.

Ein Meckerkopf wird immer was negatives finden, das gilt dann aber auch für alle anderen CMS, wenn der von seiner statischen Seite nicht weg will, ist die Argumentation natürlich schwierig, da er immer irgendwas in den Raum werfen wird, was er grad gehört hat.

Bevor du dich "kostenlos" in das Unterfangen weiter reinhängst würde ich berücksichtigen das Drupal extrem viel leisten kann, aber auch pflegeintensiv und dadurch zeitraubend werden kann, besonders wenn Sonderwünsche anderer schnell mal umgesetzt werden sollen.

Mich würde noch interessieren was der jenige meint "mit nicht sicher ist", gehts da etwas konkreter, wo genau liegen die Befürchtungen, dann kann dir jemand vielleicht auch gezieltere Tips geben?

Grüße Jenna

Zum Glück überprüft dieser Cron-Lauf nur, ob es Updates gibt. Man solle nämlich immer überprüfen a) ob man dieses Update wirklich braucht und b) ob sich der Update des einen Moduls mit den anderen dann noch verträgt. Sonst ist die Seite unter Umständen zerschossen und das ist das Letzte was man braucht.

@wla zur Studie des BSI zu den Content Management Systemen
Ich habe sie genüßlich gelesen und werde ihm dieses Dokument zukommen lassen.

@Jenna
Ist Drupal wirklich zeitraubend in der Pflege?? Habe ich mich da auf ein Unterfangen eingelassen?
Ich habe jahrelang mehrere Contenido CMS-Syteme ohne viel Aufwand betreuen können. Dieses CMs
war eigentlich in sich stabil, ein Selbstgänger. Alle ein-zwei Jahre ein Udate und gut wars.
Allerdings wurden schlauerweise keine Module wie z.B Formulare/Gästebücher/Foren usw. angeboten.
Kommentare, Kontaktformulare, Gästebuch und Forum, habe ich bisher auf der jetzigen Drupal-Seite deaktiviert und
habe auch nicht vor, die zu zulassen, da ich meine, dass dann der Ärger mit der Pflege losgeht.

Kann man so ein einfaches Drupal-System (dem von mir beschriebenen) als einigermaßen wartungarm bezeichnen?
Oder müssen doch einfach häufiger Sicherheits-Updates eingespielt werden. Fakt ist, dass ich bei
Drupal eine Menge mehr an Modulen zusätzlich installieren mußte, um eine adäquate Funktionalität wie
bei Contenido-System zu erreichen. Contenido hat doch viel mehr on Board.
Sind es bei drupal die diversen Module, die die Sicherheit des CMS bestimmen?

Es handelt sich um die Website einer Interessengemeinschaft von Oldtimer-Wohnmolbilen mit reinem
Text / Bild Informationen, für die er eine Ausfallquote von 0% haben möchte. Der schießt nur mit allgemeinen Phrasen.
Seine Hauptargument ist aber der Ausfall der Seite, wenn sie dann gehackt wird.

Es ist so ein Mensch, der alles ausführlich im Netz recherchiert und sich akribisch informiert und sich mit dem,
was in Wikipedia etc. steht , als Fachmenschen ausgibt.
Offensichtlich hat er no praktische Erfahrung mit CMS Systemen, hat nie ein Datenbankbackup aufgespielt
und no Ahnung vom dem problemlosen Aufspielen eines solchen. Ob er die Möglichkeiten einer gut funktionierenden
Backup Strategie bei CMS-systemen gehört hat, die letztendlich die Höhe der Ausfallquote und Ausfalldauer bestimmt?

Der Aufwand hängt von mehreren Punkten ab:

• Muß ich hinter jedem Security-Update sofort her sein oder reicht es einmal im Monat einen Blick auf das System zu werfen?
• Sind viele eingeloggte User auf dem System, dann ist es empfindlicher?
• Was läßt sich bei Deinem Hoster automatisieren?
• Welche Backup Mechanismen bietet Dein Hoster?

Arbeitshilfen:

• Richte mit Backup&Migrate einen automatisierten Backup der Datenbank ein (private Filesystem erforderlich).
• Halte eine Spiegelung des System auf Deinem lokalen System vor.
• Synchronisiere Dein lokales und das Live-System mindestens einmal im Monat.
• Abonniere die Security Mails von Drupal.org und kontrolliere, ob Dein System von den Security Meldungen betroffen ist.

Der Aufwand für Deine Seite dürfte dann bei zwei bis drei Stunden Pro Quartal liegen.
Vorgehen beim Update des Systems:

• Lokales System synchronisieren (Files und Datenbank)
• Update lokal durchführen (ich empfehle dafür drush)
• System nach dem Update testen:
  • Querschnitt der Seiten ansehen
  • Neuen Datensatz von jedem Typ testweise anlegen
  • Bestehenden Datensatz von jedem Typ verändern (manchmal geht neuanlegen aber nicht ändern)
• Update auf dem Live-System durchführen

@wla: Studie des BSI, tolle Info, danke...

Drupal ist vom Kern "leer" gehalten, damit jeder nur die Module installieren kann die er wirklich benötigt. Bei Contenido ist das eben gleich vollgepackt, kann Vor- und Nachteile haben, je nachdem was man möchte.

Mach dich nicht verrückt mit einer Informationsseite, regelmäßige Backups und alles wie wla beschreibt, dann ist gut.

Ich kenne diese "ganz aufgeregten" mit 100% Garantie haben wollen, aber darf alles nichts kosten... du kannst auch einen Server buchen mit einem RAID System, das also spiegelgleich jeder Schritt auf einem Parallel Systemen gespeichert wird. Bei Hackerangriff schaltet man einfach auf das 2. System um und hat zudem eine 24/7 Notfall Nummer beim Hoster.
Das ist in eurem Fall aber völlig überdimensioniert und kostet natürlich ein paar Euro mehr monatlich.

Sollte nun wirklich eure Seite gehackt werden, dann wird eben das Backup zurück gespielt, der Ausfall beträgt dann ca. 1 Std., mit etwas Glück schläft er in der Zeit und kriegt das gar nicht mit...

Für offene Kontaktformulare etc. kann ich dir das Modul Honeypot empfehlen, ich setze das bei offfen zugänglichen Guestbooks ein und es läuft seit 1,5 Jahren ohne Spam durchzulassen.
https://drupal.org/project/honeypot

Auch wenn ich eurer Konstrukt nicht beurteilen kann, aber wenn du dir kostenlos die Mühe machst so etwas für andere bereit zu stellen und zu pflegen, kann man ja zumindest Entgegenkommen erwarten und nicht stur auf einem "kann aber passieren" Fall rumreiten. Vielleicht gelingt es dir ihn mit einzubeziehen, wenn nicht, und derjenige geht weiter auf Fehlersuche, wird die ganze Sache nicht viel Spaß machen.

Grüße Jenna