Después de que esta semana dieron detalles técnicos de la vulnerabilidad de varias versiones en drupal, empezaron ahora si a atacar sitios con drupal. lo que recomiendan es que si no se hizo la actualización hace unas semanas. lo mejor es regresar a un respaldo más antiguo y restablecer desde esa copia.
En fin a leer los diferentes post y a preocuparse de los sitios no actualizados.
El ultimo reporte en drupal.org
En realidad si estas apenas leyendo esto llevas más de 12 horas tardes (o más) salió actualizaciones de seguridad desde drupal 6 hasta drupal 8.5, que son criticas, que se tienen que aplicar lo antes posible para evitar que corran código dentro de tu instalación de drupal.
Ve al anuncio de drupal.org:
https://www.drupal.org/sa-core-2018-002
para más datos de que versión tienes que instalar en cada caso.
El dái de hoy 28 de nov empezo la noticia, alguien en Rusia esta haciendo que se mande el correo para resetear la clave de acceso del usuario administrador. para que? existen varias teorias, lo que parece quedar claro es que aprovecha que muchos sitios tienen nombre de usuario con nombres como:admin o administrator.
Parece que en eso termina el problema, pero es mejor tomar precauciones y cambiar el nombre a este usuario por algo menos obvio.
Se puede leer más al respecto en esta página:
Esta es una buena noticia, para los que quieran hacer módulos o temas en drupal.org. Antes de este cambio en el sitio si se quería tener un módulo en drupal se tenia o bien que dejar el proyecto como sandbox project que equivalía a tener un proyecto experimental sin ninguna revisión. O bien la otra opción era mandar a revisión el proyecto y que alguien con los permisos y el tiempo suficiente revisara el módulo, lo aprobara o diera sus comentarios sobre que cambiar para poder publicarlo. Era un proceso muy lento.
Es bueno estar al tanto de los anuncios de seguridad de drupal.org. Por ejemplo acaba de anunciar de este posible problema de seguridad en un thema muy popular: Bootstrap. Se sugiere actualizar a la ultima version.
Por aca la liga completa:
No existe nada completamente seguro, pero en el caso de los módulos en Drupal.org existe una pequeña novedad, por lo menos visual, como parte de varios cambios que han estado haciendo para mejorar en funcionalidad y en diseño el sitio web, hace no mucho tiempo empezaron a colocar al lado de las ligas para bajar el módulo la imagen de un escudo.
El grupo de seguridad de drupal saco por fin los módulos que se requieren actualizar, por suerte son solo tres y no son módulos que use todo mundo y en muchos sitios.
Los módulos son:
https://www.drupal.org/node/2765573?platform=hootsuite
https://www.drupal.org/node/2765575?
Apenas hace una semana mencionabamos que salia la versión 7.40 y sale ahora la versión 7.41 para cubrir un problema de seguridad en el módulo overlay.
https://www.drupal.org/drupal-7.41-release-notes
parece ser un problema de seguridad no tan grave, pero bueno, mejor actualizar.
¿cuales son los permisos que deben de tener las carpetas en una instalación de drupal? La respuesta más sencilla y via la terminal es este script
Por si no lo sabian existe un documento que habla sobre seguridad en el proyecto de drupal, es un documento de inicio del 2014, es un buen documento para explicar como se defiende drupal de todos muchos de los posibles problemas de seguridad en internet.
Se encuentra en este sitio web:
http://drupalsecurityreport.org/about-drupal-security-report
y el documento en:
