I många lägen är den största säkerhetsrisken idag är s.k. social engineering. Nu är det en grupp som har siktet inställt mot Drupal-sajter.
Det har skett ett utskick av e-post som ser ut att komma från Drupal säkerhets-team som ser ut så här:
Hello, I am a member of the Drupal security team. Our installation records
show that your site runs Drupal on PHP [version] and [server]. We have
recently found a security problem with that configuration which could allow
a hacker to get into the site and delete any posts they want. We have not
posted anything about this yet publicly as we want to get this patch out
to as many people as possible first. We have developed a patch for this bug -
all you need to do is upload this file to your site in the
sites/default/files/ folder (do not change the name of the file) and Drupal
will see it and install it for you. We recommend you do this as soon as possible.
Sincerely, James Drupal security team
Avsändaren är Drupal Security
Naturligtvis lägger patchen in en bakdörr som gör ditt system öppet.
Mer information kan du hitta på PSA-2011-001 – ”Drupal security update” social engineering
Trots det här utskicket ska man komma ihåg att Drupal generellt sett har hög fokus på säkerhet. Det finns ett säkerhets-team som håller viss koll och modulerna är organiserade på ett uppstyrt sätt. Däremot är det viktigt att alltid ha de senaste säkerhetsuppdateringarna.