CMS ที่ Blognone เลือกใช้
เมื่อวันที่ 15 มกราคม 2025 ซึ่งตรงกับวันครบรอบ 24 ปีของ Drupal ชุมชน Drupal ได้เฉลิมฉลองการเปิดตัว Drupal CMS 1.0 ซึ่งเป็นการพัฒนาครั้งสำคัญของแพลตฟอร์มนี้ การเปิดตัวนี้มุ่งเน้นไปที่การทำให้การสร้างและจัดการเว็บไซต์ง่ายขึ้นสำหรับนักการตลาด ผู้สร้างเนื้อหา และนักพัฒนา
Drupal CMS คืออะไร?
Drupal CMS คือเวอร์ชันขั้นสูงของ Drupal Core ที่ได้รับการออกแบบมาให้ใช้งานง่ายและเหมาะสำหรับนักการตลาด ผู้สร้างเนื้อหา และผู้สร้างเว็บไซต์ โดยเน้นให้เป็น CMS ที่ใช้งานง่ายมากขึ้น
Dries Buytaert ผู้ก่อตั้ง Drupal ออกมาโพสต์แสดงความเห็นถึงกรณีสงครามกลางเมืองของโลก WordPress โดยยกตัวอย่างแนวทางแก้ปัญหาของ Drupal ที่ประสบปัญหาแบบเดียวกัน
Dries บอกว่าเขารู้จักกับ Matt Mullenweg ผู้ก่อตั้ง WordPress มานาน ในฐานะผู้ก่อตั้งซอฟต์แวร์ CMS โอเพนซอร์สลักษณะเดียวกัน ในอีกด้าน เขาก็รู้จักกับ Heather Brunner และ Founder Jason Cohen ของฝั่ง WP Engine เช่นกัน ในฐานะคนนอกที่ไม่รู้รายละเอียดความขัดแย้ง จึงไม่ขอตัดสิน
Drupal ออกเวอร์ชัน 11.0 ซึ่งถือเป็นเวอร์ชันใหญ่ในซีรีส์ 11.x และทิ้งช่วงห่างจาก Drupal 10 ประมาณ 1 ปีครึ่ง
ของใหม่ที่สำคัญใน Drupal 11 ได้แก่
โครงการ Drupal ประกาศหยุดซัพพอร์ต Drupal 7 อย่างสมบูรณ์ในวันที่ 5 มกราคม 2025 หรือวันครบรอบ 14 ปี ที่ออกตัวจริง
เดิม Drupal 7 มีกำหนดหมดอายุซัพพอร์ตตั้งแต่ปลายปี 2022 แต่ก็เลื่อนมาเป็นปลายปี 2023 และประกาศเลื่อนครั้งนี้จะเป็นครั้งสุดท้าย ทำให้อายุซัพพอร์ตโดยรวมใกล้เคียงกับ Drupal 6 ที่เพิ่งหมดซัพพอร์ตสมบูรณ์ไปเมื่อปีที่แล้ว แต่ในกรณี Drupal 6 นั้นไม่มีซัพพอร์ตฟรีมาตั้งแต่ปี 2016 ทำให้ Drupal 7 เป็นซอฟต์แวร์ที่มีการซัพพอร์ตฟรียาวนานอย่างมาก
โครงการ Drupal ประกาศปิดโครงการซัพพอร์ต Drupal 6 อย่างสมบูรณ์ หลังจากออกรุ่น 6.0 ตั้งแต่ปี 2008 และออกรุ่นย่อยซัพพอร์ตมา 38 เวอร์ชั่นหมดซัพพอร์ตแบบโอเพนซอร์สเมื่อมี 2016
แม้จะหมดอายุซัพพอร์ตแบบโอเพนซอร์สไปนานแล้ว แต่ก็ยังมีบริษัทขายซัพพอร์ตระยะยาวต่อมาอีก 3 บริษัท ได้แก่ Tag1, Acquia, และ myDropWizard โดยมีการปล่อยแพตช์ให้ลูกค้ากลุ่มนี้อยู่เรื่อยๆ
Drupal ออกเวอร์ชัน 9.0 โดยชูจุดเด่นเรื่อง "อัพเกรดง่าย" สามารถอัพเกรดจาก Drupal 8.x มาได้ตรงๆ เหมือนเป็นเวอร์ชันเดียวกัน ไม่มีปัญหาการย้ายข้อมูลแบบเดียวกับตอน Drupal 7 มาเป็น Drupal 8
หลังจากเปลี่ยนโครงสร้างครั้งใหญ่ตอน Drupal 8 ที่สร้างปัญหาเรื่องการอัพเกรดมากมาย โครงการ Drupal จึงหันมาโฟกัสเรื่องการอัพเกรดข้ามเวอร์ชันให้ง่ายขึ้น โดย Drupal เวอร์ชันใหญ่จะออกบ่อยขึ้น (ทุก 2 ปี Drupal 10 จะออกกลางปี 2022) และจะออกรุ่นย่อยทุก 6 เดือน เพื่อให้มีระยะเวลาชัดเจน (Drupal 9.1 จะออกเดือนธันวาคม 2020)
Drupal ออกเวอร์ชัน 8.6.0 ของใหม่ที่สำคัญในเวอร์ชันนี้คือการ Upgrade/Migrate จาก Drupal เวอร์ชันเก่า (6 หรือ 7) มาเป็น Drupal 8 ถือว่ามีสถานะเป็น "เสถียร" (stable) และแนะนำให้ใช้งานอย่างเป็นทางการ
Drupal 8 ออกในช่วงปลายปี 2015 และต้องใช้เวลาเกือบ 3 ปี กว่าที่ระบบการ Migrate จากเวอร์ชันเก่าจะทำงานได้อย่างเสถียร เหตุผลหลักเป็นเพราะ Drupal 8 เปลี่ยนสถาปัตยกรรมครั้งใหญ่ และแตกต่างจาก Drupal 6/7 มาก อย่างไรก็ตาม ระบบการ Migrate ยังใช้ได้เฉพาะเว็บไซต์ที่มีภาษาเดียวเท่านั้น ส่วนการย้ายเว็บไซต์หลายภาษา (multilingual) ยังมีสถานะเป็นรุ่นทดสอบ (experimental)
Drupal เพิ่งปล่อยแพตช์แก้ช่องโหว่ SA-CORE-2018-002 ไปเมื่อปลายเดือนมีนาคม โดยเป็นช่องโหว่ร้ายแรงที่เปิดให้แฮกเกอร์ส่งโค้ดเข้ามารันบนเครื่องโดยง่าย และเริ่มมีเวิร์มอาศัยช่องโหว่นี้แล้ว ตอนนี้ทีม Drupal Security ก็พบว่าแพตช์ล่าสุดยังไม่สมบูรณ์และประกาศปล่อยแพตช์อีกครั้งวันพฤหัสนี้
Drupal ออกแพตช์ความปลอดภัยระดับวิกฤติมาตั้งแต่เดือนที่แล้ว โดยเป็นครั้งที่สองในรอบสี่ปีที่ออกแพตช์โดยเตือนล่วงหน้า ตอนนี้ Netlab 360 ก็ออกมาเตือนว่าเริ่มมีเวิร์มที่อาศัยช่องโหว่นี้อาละวาดแล้ว
จากการสแกนของ Netlab 360 พบว่ามีกลุ่มแฮกเกอร์ 3 กลุ่มใหญ่อาศัยช่องโหว่นี้และโจมตีเซิร์ฟเวอร์ Drupal ที่ยังไม่ได้แพตช์ แต่มีกลุ่มหนึ่งที่ตั้งชื่อว่า Muhstik (เนื่องจากในไฟล์มีคำนี้อยู่) ทำงานเป็นเวิร์มที่แพร่ตัวเองได้
Drupal ออกอัพเดต 7.58 และ 8.5.1 ตามที่ประกาศไว้เมื่อสัปดาห์ที่แล้ว โดยระบุว่าเป็นช่องโหว่ "วิกฤติอย่างสูง" (highly critical) แฮกเกอร์สามารถยึดเว็บได้อย่างสมบูรณ์
Drupal เตรียมออกแพตช์ระดับ "วิกฤติร้ายแรง" วันที่ 29 มีนาคมนี้ เวลาตีหนึ่งถึงตีสองครึ่ง กระทบเวอร์ชั่น 7.x, 8.3.x, 8.4.x, และ 8.5.x ความร้ายแรงของช่องโหว่นี้สูงกว่าปกติ เพราะคาดว่าแฮกเกอร์จะสามารถสร้างเครื่องมือเจาะระบบได้ภายในเวลาไม่กี่ชั่วโมงหรือไม่กี่วันหลังจากปล่อยแพตช์
ทีม Drupal Security แนะนำให้ผู้ใช้ Drupal เตรียมเวลาเพื่อแพตช์ระบบในช่วงเวลาดังกล่าว
ทางด้าน Drupal 8.3.x และ 8.4.x นั้นหมดอายุการซัพพอร์ตไปแล้ว แต่จะออกแพตช์สำหรับช่องโหว่นี้เป็นพิเศษ
ที่มา - Drupal Security
Drupal ประกาศแพตช์ความปลอดภัยอันตรายสูงทั้งเวอร์ชั่น 7 และ 8 แต่เป็นคนละช่องโหว่ที่ไม่เกี่ยวข้องกัน
ช่องโหว่ของ Drupal 8 เป็นช่องโหว่การเข้าดูเนื้อหาที่ไม่มีสิทธิ์และสามารถคอมเมนต์ในเนื้อหานั้นๆ ได้ โดยผู้ใช้ที่ได้สิทธิ์คอมเมนต์ ขณะที่ Drupal 7 เป็นช่องโหว่ของฟังก์ชั่น Drupal.checkPlain() ที่ทำงานไม่สมบูรณ์ ทำให้แฮกเกอร์สามารถทำ cross-site scripting ได้
สามารถสั่งอัพเดตได้แล้วตอนนี้
ที่มา - Drupal
ทำเนียบขาวในยุคของรัฐบาลทรัมป์ ยกเลิกการใช้เว็บไซต์ whitehouse.gov ที่สร้างในยุครัฐบาลโอบามา เปลี่ยนมาใช้เว็บไซต์อันใหม่ทั้งหมด และเปลี่ยนระบบ CMS จากเดิม Drupal มาเป็น WordPress
เว็บไซต์ whitehouse.gov อันใหม่เพิ่งเริ่มใช้งานเมื่อวันที่ 15 ธันวาคม 2017 โดยไม่ระบุว่าใช้ CMS ตัวใด แต่จากการขุดซอร์สโค้ดของเว็บไซต์ก็พบชื่อไฟล์และไดเรคทอรีขึ้นต้นด้วยคำว่า wp ซึ่งเป็นเอกลักษณ์ของ WordPress ส่วนธีมที่ใช้เป็นธีมสร้างพิเศษคือ WhiteHouse และใช้เลขเวอร์ชัน "45" ตามลำดับประธานาธิบดีของทรัมป์
ระบบ CMS Drupal ออกเวอร์ช่น 8.4.0 เมื่อวันที่ 4 ตุลาคม มีการปรับปรุงหลายรายการ ทั้งฟีเจอร์ใหม่ ประสิทธิภาพ และประสบการณ์การใช้งาน โดยมีสิ่งที่เพิ่มเติมเข้ามาดังนี้
Backdrop CMS คือซอฟต์แวร์ Content Management System ที่แยกโครงการ (fork) ออกมาจาก Drupal 7 เนื่องจากทีมพัฒนาไม่เห็นด้วยกับแนวทางของ Drupal 8 ที่ซับซ้อนเกินไป และมีการเปลี่ยนแปลงจาก Drupal 7 มากจนไม่สามารถใช้งานร่วมกันได้
ทีมงาน Backdrop จึงนำโค้ดของ Drupal 7 มาพัฒนาต่อโดยยังคงแกนหลักของระบบไว้ แต่ปรับปรุงเรื่อง usability ให้ดีกว่าเดิม, มีระบบจัดการคอนฟิกแบบใหม่, รวมโมดูลสำคัญบางตัวเข้ามาในแกนหลักของ CMS (มี Editor มาให้ตั้งแต่ต้น!) และยังคงพอร์ตโมดูลของ Drupal 7 มาใช้ร่วมกับ Backdrop ได้ง่าย
งาน DrupalCamp Munich เมื่อวานนี้ ผู้ร่วมงานต่างประหลาดใจหลังได้รับนิตยสาร Playboy ในถุงของต้อนรับเข้าสู่งาน และวันนี้ผู้จัดก็ประกาศขออภัยกับการตัดสินใจครั้งนี้
ผู้จัดระบุว่า playboy.de เป็นเว็บขนาดใหญ่เว็บแรกๆ ที่ใช้ Drupal 8 ตั้งแต่ออกมา และทีมงานคิดว่าเป็นไอเดียที่ดีที่จะใส่นิตยสารไว้ในชุดต้อนรับ
สำหรับคนไทยคงไม่มีเกี่ยวกับเหตุการณ์นี้นัก แต่ตอนนี้ทั่วโลกก็ได้รับรู้ว่า playboy.de ใช้ Drupal 8
ที่มา - DrupalCamp
Drupal ออกแพตช์รวมช่องโหว่ความปลอดภัยตามรอบ (ที่สลับเดือนระหว่างการแก้บั๊กและการอุดช่องโหว่ความปลอดภัย) โดยรอบนี้ช่องโหว่มีความร้ายแรงระดับปานปลาง
ช่องโหว่ที่ร้ายแรงสักหน่อยใน Drupal 7 คือการฝัง URL ของหน้าเว็บภายนอกลงในแบบฟอร์มได้ ทำให้ผู้ใช้อาจจะถูกหลอกให้เข้าเว็บปลอมโดยไม่รู้ตัว ขณะที่ Drupal 8 มีช่องโหว่ที่โจมตีแบบให้ล่มได้เมื่อสร้าง URL อย่างจงใจ
แพตช์ชุดนี้มีช่องโหว่รวม 4 ช่องโหว่ อีก 2 ช่องโหว่เป็นช่องโหว่ระดับความร้ายแรงต่ำ อย่างไรผู้ดูแลก็ควรรีบแพตช์กันครับ
ช่องโหว่ HTTPOXY อาศัยการอิมพลีเมนต์เซิร์ฟเวอร์ CGI หลายตัวที่รับค่า Proxy จาก HTTP header เมื่อเซิร์ฟเวอร์เหล่านี้กำลัง ดาวน์โหลด ข้อมูลผ่าน HTTP เมื่อได้รับค่า Proxy มาแล้วกลับตั้งค่าเป็น environment variable ในชื่อ HTTP_PROXY ทำให้การดาวน์โหลดครั้งอื่นๆ จะถูกส่งไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ต้องการได้ทันที
ทีมงานความปลอดภัยของ Drupal ออกประกาศแจ้งเตือนว่ามีช่องโหว่ในโมดูลหลายตัวของ Drupal 7 มีช่องโหว่ระดับวิกฤติขั้นสูง (highly critical) เปิดช่องให้แฮกเกอร์สามารถรันโค้ด PHP บนเครื่องของเหยื่อได้ ผู้ดูแลระบบควรเตรียมอัพเดตโดย Drupal จะปล่อยอัพเดตคืนนี้ห้าทุ่มตรง ตามเวลาประเทศไทย
ประกาศไม่ได้บอกรายชื่อโมดูลที่ได้รับผลกระทบ แต่ระบุว่าโมดูลเหล่านี้มีเว็บไซต์ติดตั้งอยู่ 1,000 ถึง 10,000 ไซต์ แสดงว่าได้รับความนิยมสูงพอสมควร
Forkbombus Labs รายงานถึงมัลแวร์ข่มขู่เรียกค่าไถ่ที่มุ่งเป้าโจมตีเว็บไซต์ Drupal โดยอาศัยช่องโหว่ CVE-2014-3704 อายุสองปี และเป็นช่องโหว่ที่แก้ไปแล้วใน Drupal 7.32
ตัวมัลแวร์เมื่อโจมตีเว็บเหยื่อสำเร็จ จะสร้างหน้าอัพโหลดไฟล์ และอัพโหลดไบนารีที่พัฒนาด้วยภาษา Go จากนั้นเว็บจะแสดงหน้าจอแสดงข้อความ "Website is locked. Please transfer 1.4 BitCoin to address 3M6SQh8Q6d2j1B4JRCe2ESRLHT4vTDbSM9 to unlock content."
on
on