Drupal Sicherheitsupdates: v7.60 und 8.6.2

Drupal Sicherheitsupdates: v7.60 und 8.6.2

Hallo geehrter Blogleser und Drupal 7/8-Admin! Neue Drupal CMS Updates sind erschienen und jeder Drupal-Admin ist ab sofort dazu angehalten, diese Updates zeitnah zu installieren.

Warum zeitnah!? Weil es sich von der Sicherheit dieser Blog-App handelt und bei solchen Updates solltest du nie zögern. Du verbesserst die Sicherheit deiner Server-Umgebung, ob in Shared Hosting oder auf einem dedizierten Rootserver. Für beides gilt so etwas.

Ich habe beide Updates bereits installiert, was mit Erfolg ausging und zwar einmal unter https://drupal7.cms-blogger.eu und einmal im D8-Blog unter https://drupal8blogger.de.

Drupal-Updates sind von einer angenehmen Sorte und lassen sich im Handumdrehen installieren. Du brauchst dabei lediglich die neuen Dateien über die alten Files im FTP-Account hochzuladen. Dabei würde ich noch die Dateien wie .htaccess und install.php links liegen lassen, denn du willst nichts installieren und an der .htaccess-Datei nimmt man oft eigene Änderungen vor, sodass sie nicht mehr überschrieben werden sollte.

Wenn das klar ist, steht den Updates nichts mehr im Wege und du kannst damit loslegen.

Update auf Drupal 7.60

Es ist wieder der Sicherheit geschuldet und unter https://www.drupal.org/project/drupal/releases/7.60 kannst du etwas dazu nachlesen. Das Update ist bereits stabil und kann ohne Probleme installiert werden. Zwecks etwas mehr Sicherheit deines D7-Blogs kann ich dir für die Login-Maske und Register-Maske das ReCaptcha ans Herz legen. Das ist auch eine passable Umsetzung, die auf die Schnelle klappen wird. Dadurch kann man zumindest die Spam Bots davor abhalten, mit BruteForce-Attacken beizugehen.

Ich habe heute in beiden D7/8-Blogs ReCaptcha ermöglicht und habe nun mehr Ruhe, wenn sich die Spam-Bots an den Logins versuchen.

Falls du gerne mit der Konsole arbeitest, kannst du diese SSH-Befehle zum Aktualisieren verwenden.

cd /deindrupalverzeichnis

Mit “cd” wechselst du immer in ein Verzeichnis via SSH. Danach kannst du vor dem Update die Dateien des Download-Pakets zum ZIP-Archiv packen, lädst das Archiv zum Root deiner Drupal-Installation hoch und entpackst das Ganze dann mit dem unteren Befehl.

unzip meinarchiv.zip

Löschen geht so.

rm -rf meinarchiv.zip

Diese Befehle gelten für beide Drupal-Versionen und deiner Handlungsfantasie dabei sind keinerlei Grenzen gesetzt, soweit es dafür SSH-Befehle gibt.

Ich agiere generell mit SSH/Kommandozeile, wenn ich CMS-Updates erledigen muss. So kann ich auch mit Composer-Update arbeiten und das ist der beste Weg an die letzte CMS-Version.

Update auf Drupal 8.6.2

Hierbei wird es vermutlich bei dir auch so sein, dass defuse/php-encryption per Composer installiert werden muss, denn andernfalls kann das Datenbank-Update nicht gemacht werden. Das zu installieren, geht in SSH mit diesem Befehl.

php composer.phar require defuse/php-encryption

So werden alle dafür zuständigen Abhängigkeiten heruntergeladen und mit Composer installiert. Danach können Datenbank-Updates in Drupal 8 gemacht werden.

Im Drupal 8 Blog bei mir ermöglichte ich heute ebenfalls den ReCaptcha-Schutz beim Login, weil es etwas sicherer ist. Es geht schon noch mit TFA/Two Factor Authentifizierung, aber paar Maile sperrte ich mich dadurch bereits aus, weil es nicht funktionierte. Daher habe ich es sein lassen und nutze ab sofort ReCaptcha.

Auf Github im offiziellen Drupal-Repository kannst du die Entwicklung etwas verfolgen und schaue dort ab und an mal rein. Bei Updates muss man eben handeln und wenn es um die Sicherheit geht, lieber etwas zeitnaher als zu warten.

So viel zu den beiden Drupal-Updates, die am 17. Oktober 2018 nach draussen befördert wurden. Hast du SSH-Probleme bei diesen Updates, wende dich in den Kommentaren gerne an mich. Ich denke, dass ich dir etwas helfen kann.

Ansonsten weiterhin Freude mit dem coolen OpenSource CMS namens Drupal.

Weiterführende Links

by Alexander Liebrecht

 

Hinterlasse einen Kommentar, wenn du magst!

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg