Ve stávající verzi Drupalu bylo objeveno několik chyb. Přestože to není chyba jedna, je celý problém označen jako nekritický. Oprava nicméně byla vydána, takže v nejbližší době byste měli své instalace Drupalu zaktualizovat. Problém se týká modulů obsažených v jádře Drupalu, konkrétně jsou postiženy Contact a Menu.
Modul Contact neošetřuje správně informace o kategoriích kontaktního formuláře. Uživatel s oprávněním vytvářet kategorie kontaktního formuláře by tak mohl vložit škodlivý kód a provést XSS útok. Modul Menu trpí podobným problémem při zobrazení administračního přehledu. Opět, uživatel s oprávněním vytvářet menu by mohl podstrčit škodlivý kód.
Vzhledem k tomu, že obě výše uvedené činnosti většinou provádějí administrátoři, kteří si nebudou hackovat vlastní web, je problém označen jako nekritický. V aktuální verzi Drupalu 6.15 jsou již zaneseny opravy. Večer se objevila také nová verze modulu Sections, který slouží pro střídání různých témat vzhledu v různých částech webu. I on měl bezpečnostní XSS problém. Označen byl jako kritický.
Jak aktualizovat Drupal?
Předtím, než se pustíte do aktualizace Drupalu, zálohujte si veškeré jeho soubory. Stačí jediná malá chybka při troše nepozornosti a svůj web v lepším případě na několik hodin znepřístupníte. Stejně tak si zálohujte databázi. Stačí ji vyexportovat přes phpMyAdmin, u větších projektů použijte příkaz mysqldump na serveru nebo modul DB Maintenance.
Tip: Podrobnosti o zálohování Drupalu najdete v článku Jak zálohovat instalaci Drupalu?.
Než začnete, přihlaste se jako administrátor, resp. uživatel s pořadovým číslem 1. Web poté dejte do offline režimu.
Připojte se na FTP a smažte všechny soubory Drupalu a složky s výjimkou /sites, kde byste měli mít nakopírovány použité moduly (kdo z vás to hrne přímo do /modules?), témata, soubory a další věci. Pokud jste měli Drupal 5, pak zřejmě máte své soubory přímo ve složce /files.
Poté nakopírujete nové soubory Drupalu přes FTP na web, nebo je přímo na serveru rozbalíte.
Do prohlížeče zadejte adresu svého webu následovanou souborem update.php a postupujte podle instrukcí až k dokončení aktualizace databáze.
V rychlosti web omrkněte, a pokud je vše v pořádku, dejte jej zase do online režimu a umožněte přístup ostatním návštěvníkům.
Já osobně původní složky a soubory Drupalu nemažu a pouze nakopíruji nový obsah s výjimkou složky sites. Má to své výhody - nesmažete nic důležitého a je to rychlejší.
Na druhou stranu můj postup není úplně správný, protože tak mohou v Drupalu zůstávat již nepotřebné soubory. Ale děje se tak minimálně.
Při aktualizaci ještě můžete vynechat přepsání/mazání souborů .htaccess a robots.txt, pokud jste v nich dělali nějaké úpravy. Samozřejmě za předpokladu, není-li k novému vydání Drupalu doplněna poznámka, že je nutné použít nové soubory a stávající nastavení do nich editací znovu zanést. Totéž je občas potřeba u souboru sites/default/settings.php.
Musím říct, že se těším na dobu, kdy aktualizace Drupalu bude stejně pohodlná, jako je tomu třeba u WordPressu. Klepnete na odkaz, chvíli počkáte a je hotovo. Zatím se tomu přibližuje pouze automatická instalace modulů pomocí Plugin Manageru.
Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu.
Web Development Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz a mém LinkedIn profilu.
Podobné články
Komentáře k článku
To je většinou nějakou nekompatibilitou souboru .htaccess.
Je to jak píšete, stalo se mi to samé. Přepsal jsem si .htaccess a tím jsem si zakázal čisté url a web pak nevěděl co má dělat.
Hloupá chyba :o)
Vždy když se objeví hláška: Je nutná bezpečnostní aktualizace. Tak se zděsím, a nejhorší je pokud se jedná o celé jádro jako je tomu teď.
Aktualizace je v drupalu fakt blbá.
Jinak souhlasím, že je lepší nemazat, ale přepsat. Prostě ze složky drupal 6.15 vymažu sites, robots,htaces a pak to nahraju (přepíšu) na ftp.
v tomto případě nutné nahrát nové soubory, u kterých jste napsat, že je to nutné jen při při některých aktualizací.
Ještě bych bylo dobré do článku doplnit zdali je to
Asi seberu odvahu a dám se do toho. I když se bojím jak malý kluk :D
Ta hláška tedy působí psychologicky správně :-)
Nemyslím, že by aktualizace byla blbá (horší je upgrade).
Co by bylo dobré do článku doplnit?
Mimochodem, s aktualizacemi vždycky čekám, zda se neobjeví náhodou další den ještě nějaká. Navíc, je vhodné si přečíst kombinace, při kterých dochází ke zranitelnosti. Většinou je to tak, že to konkrétní web neohrozí, takže aktualizace není vyloženě nutná.
Myslel jsem doplnit jestli je v tomhle konkrétním případě nutné přepsat ty uvedené soubory co se většinou nemusí.
Už jsem aktualizoval a proběhlo to v pořádku.
Sice neohrozí, ale člověk to chce mít všechno v cajku. A taky to ho to upozornění furt nutí. Takže to většinou nevydrží.
jj upgrade, toho se bojím a 7mička se blíží. I když to ještě potrvá než budou všechny moduly co používám hotové i pro 7mu.
Nie je nahodou potrebne pred aktualizaciou vypnut vsetky moduly? Okrem core myslim.
Samozřejmě je to vhodné a doporučené. Na druhou stranu to dělám bez toho. U aktualizací nebývá problém, něco jiného by samozřejmě byl upgrade na novou řadu.
myslim ze to neni vubec treba, to je nutne pro upgrade (tedy prechod mezi major verzemi)
Dobry den,
po instalacii Drupalu prebehne vyber jazyka, overenie poziadavok, nastavenie databazy a dalej ma uz nepusti pokracovat. Zobrazi sa mi toto a dalej ma uz nepusti. .Vsetko mozne prezeram, neviem kde je chyba.
http://www.crystalamplifier.com/install.php
Viete mi poradit ?
Dakujem.
No, netuším, co se vám zoébrazí, instalátor teď už má evidentně zaznamenáno, že je databáze nastavena. Podle všeho není.
Překopírujte sites/default/default.settings.php na settings.php ve stejné složce (stávající settings.php smažte) a pusťte instalaci znovu.
Moc díky za návod! Než jsem na něj narazila, byla jsem dost ztracená. Aktualizace proběhla v pořádku. :-)
Rádo se stalo :-)
Zkoušel jsem aktualizovat Drupal a dopadl jsem takto:
Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, root@localhost and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.
myslím, že jsem neudělal žádnou změnu v postupu, nikde žádná hláška a server je KO.
Mirda