โครงการ Drupal ประกาศหยุดซัพพอร์ต Drupal 7 อย่างสมบูรณ์ในวันที่ 5 มกราคม 2025 หรือวันครบรอบ 14 ปี ที่ออกตัวจริง

เดิม Drupal 7 มีกำหนดหมดอายุซัพพอร์ตตั้งแต่ปลายปี 2022 แต่ก็เลื่อนมาเป็นปลายปี 2023 และประกาศเลื่อนครั้งนี้จะเป็นครั้งสุดท้าย ทำให้อายุซัพพอร์ตโดยรวมใกล้เคียงกับ Drupal 6 ที่เพิ่งหมดซัพพอร์ตสมบูรณ์ไปเมื่อปีที่แล้ว แต่ในกรณี Drupal 6 นั้นไม่มีซัพพอร์ตฟรีมาตั้งแต่ปี 2016 ทำให้ Drupal 7 เป็นซอฟต์แวร์ที่มีการซัพพอร์ตฟรียาวนานอย่างมาก

การซัพพอร์ตหลังจากนี้จะเป็นการซัพพอร์ตอย่างจำกัด โมดูลต่างๆ ที่เกี่ยวข้องจะแสดงว่าหมดซัพพอร์ตแล้ว, เวอร์ชั่นวินโดวส์จะไม่มีการซัพพอร์ตใดๆ อีก, ไม่สามารถดาวน์โหลดแพ็กเกจจากเว็บ Drupal.org ได้, และเลิกซัพพอร์ต PHP 5.5

โครงการ Drupal ประกาศปิดโครงการซัพพอร์ต Drupal 6 อย่างสมบูรณ์ หลังจากออกรุ่น 6.0 ตั้งแต่ปี 2008 และออกรุ่นย่อยซัพพอร์ตมา 38 เวอร์ชั่นหมดซัพพอร์ตแบบโอเพนซอร์สเมื่อมี 2016

แม้จะหมดอายุซัพพอร์ตแบบโอเพนซอร์สไปนานแล้ว แต่ก็ยังมีบริษัทขายซัพพอร์ตระยะยาวต่อมาอีก 3 บริษัท ได้แก่ Tag1, Acquia, และ myDropWizard โดยมีการปล่อยแพตช์ให้ลูกค้ากลุ่มนี้อยู่เรื่อยๆ

การปิดโครงการซัพพอร์ตระยะยาว แปลว่าผู้ให้บริการทั้งหมดจะเลิกพัฒนาแพตช์ให้แล้ว ไม่มีระบบการนัดแนะเพื่อเปิดเผยแพตช์อีกต่อไป ทำให้หากมีนักวิจัยพบช่องโหว่ใหม่ก็จะรายงานต่อสาธารณะทันที รวมถึงหลังจากนี้เว็บไซต์ Drupal เองก็อาจจะปิดไม่ให้ดาวน์โหลดไฟล์และโมดูลต่างๆ อีกแล้วหากมีการอัพเกรดเว็บในอนาคต

Drupal ออกเวอร์ชัน 9.0 โดยชูจุดเด่นเรื่อง "อัพเกรดง่าย" สามารถอัพเกรดจาก Drupal 8.x มาได้ตรงๆ เหมือนเป็นเวอร์ชันเดียวกัน ไม่มีปัญหาการย้ายข้อมูลแบบเดียวกับตอน Drupal 7 มาเป็น Drupal 8

หลังจากเปลี่ยนโครงสร้างครั้งใหญ่ตอน Drupal 8 ที่สร้างปัญหาเรื่องการอัพเกรดมากมาย โครงการ Drupal จึงหันมาโฟกัสเรื่องการอัพเกรดข้ามเวอร์ชันให้ง่ายขึ้น โดย Drupal เวอร์ชันใหญ่จะออกบ่อยขึ้น (ทุก 2 ปี Drupal 10 จะออกกลางปี 2022) และจะออกรุ่นย่อยทุก 6 เดือน เพื่อให้มีระยะเวลาชัดเจน (Drupal 9.1 จะออกเดือนธันวาคม 2020)

Drupal ออกเวอร์ชัน 8.6.0 ของใหม่ที่สำคัญในเวอร์ชันนี้คือการ Upgrade/Migrate จาก Drupal เวอร์ชันเก่า (6 หรือ 7) มาเป็น Drupal 8 ถือว่ามีสถานะเป็น "เสถียร" (stable) และแนะนำให้ใช้งานอย่างเป็นทางการ

Drupal 8 ออกในช่วงปลายปี 2015 และต้องใช้เวลาเกือบ 3 ปี กว่าที่ระบบการ Migrate จากเวอร์ชันเก่าจะทำงานได้อย่างเสถียร เหตุผลหลักเป็นเพราะ Drupal 8 เปลี่ยนสถาปัตยกรรมครั้งใหญ่ และแตกต่างจาก Drupal 6/7 มาก อย่างไรก็ตาม ระบบการ Migrate ยังใช้ได้เฉพาะเว็บไซต์ที่มีภาษาเดียวเท่านั้น ส่วนการย้ายเว็บไซต์หลายภาษา (multilingual) ยังมีสถานะเป็นรุ่นทดสอบ (experimental)

ฟีเจอร์อื่นของ Drupal 8.6.0

Drupal เพิ่งปล่อยแพตช์แก้ช่องโหว่ SA-CORE-2018-002 ไปเมื่อปลายเดือนมีนาคม โดยเป็นช่องโหว่ร้ายแรงที่เปิดให้แฮกเกอร์ส่งโค้ดเข้ามารันบนเครื่องโดยง่าย และเริ่มมีเวิร์มอาศัยช่องโหว่นี้แล้ว ตอนนี้ทีม Drupal Security ก็พบว่าแพตช์ล่าสุดยังไม่สมบูรณ์และประกาศปล่อยแพตช์อีกครั้งวันพฤหัสนี้

ช่วงเวลาปล่อยแพตช์จะเป็นช่วงเวลาก่อนเที่ยงคืนวันพฤหัสเข้าวันศุกร์ คาดว่าแฮกเกอร์จะสามารถพัฒนาซอฟต์แวร์เจาะระบบจากช่องโหว่นี้ได้ภายในเวลาไม่กี่วันหรือไม่กี่ชั่วโมงเท่านั้น ตัวแพตช์ไม่จำเป็นต้องอัพเดตฐานข้อมูล ดังนั้นจึงควรติดตั้งในระยะเวลาอันสั้นได้ ผู้ดูแลระบบทุกคนควรเตรียมตัวในช่วงเวลาดังกล่าว

Drupal ออกแพตช์ความปลอดภัยระดับวิกฤติมาตั้งแต่เดือนที่แล้ว โดยเป็นครั้งที่สองในรอบสี่ปีที่ออกแพตช์โดยเตือนล่วงหน้า ตอนนี้ Netlab 360 ก็ออกมาเตือนว่าเริ่มมีเวิร์มที่อาศัยช่องโหว่นี้อาละวาดแล้ว

จากการสแกนของ Netlab 360 พบว่ามีกลุ่มแฮกเกอร์ 3 กลุ่มใหญ่อาศัยช่องโหว่นี้และโจมตีเซิร์ฟเวอร์ Drupal ที่ยังไม่ได้แพตช์ แต่มีกลุ่มหนึ่งที่ตั้งชื่อว่า Muhstik (เนื่องจากในไฟล์มีคำนี้อยู่) ทำงานเป็นเวิร์มที่แพร่ตัวเองได้

Muhstik กระจายตัวเองไปเรื่องๆ ขณะเดียวกันก็ทำกำไรให้เจ้าของด้วยการขุดเหมืองเงินคริปโตด้วย xmrig (Monero) และ cgminer หรือบางทีก็รับยิง DDoS

Drupal ออกอัพเดต 7.58 และ 8.5.1 ตามที่ประกาศไว้เมื่อสัปดาห์ที่แล้ว โดยระบุว่าเป็นช่องโหว่ "วิกฤติอย่างสูง" (highly critical) แฮกเกอร์สามารถยึดเว็บได้อย่างสมบูรณ์

Drupal เตรียมออกแพตช์ระดับ "วิกฤติร้ายแรง" วันที่ 29 มีนาคมนี้ เวลาตีหนึ่งถึงตีสองครึ่ง กระทบเวอร์ชั่น 7.x, 8.3.x, 8.4.x, และ 8.5.x ความร้ายแรงของช่องโหว่นี้สูงกว่าปกติ เพราะคาดว่าแฮกเกอร์จะสามารถสร้างเครื่องมือเจาะระบบได้ภายในเวลาไม่กี่ชั่วโมงหรือไม่กี่วันหลังจากปล่อยแพตช์

ทีม Drupal Security แนะนำให้ผู้ใช้ Drupal เตรียมเวลาเพื่อแพตช์ระบบในช่วงเวลาดังกล่าว

ทางด้าน Drupal 8.3.x และ 8.4.x นั้นหมดอายุการซัพพอร์ตไปแล้ว แต่จะออกแพตช์สำหรับช่องโหว่นี้เป็นพิเศษ

ที่มา - Drupal Security

Drupal ประกาศแพตช์ความปลอดภัยอันตรายสูงทั้งเวอร์ชั่น 7 และ 8 แต่เป็นคนละช่องโหว่ที่ไม่เกี่ยวข้องกัน

ช่องโหว่ของ Drupal 8 เป็นช่องโหว่การเข้าดูเนื้อหาที่ไม่มีสิทธิ์และสามารถคอมเมนต์ในเนื้อหานั้นๆ ได้ โดยผู้ใช้ที่ได้สิทธิ์คอมเมนต์ ขณะที่ Drupal 7 เป็นช่องโหว่ของฟังก์ชั่น Drupal.checkPlain() ที่ทำงานไม่สมบูรณ์ ทำให้แฮกเกอร์สามารถทำ cross-site scripting ได้

สามารถสั่งอัพเดตได้แล้วตอนนี้

ที่มา - Drupal

ทำเนียบขาวในยุคของรัฐบาลทรัมป์ ยกเลิกการใช้เว็บไซต์ whitehouse.gov ที่สร้างในยุครัฐบาลโอบามา เปลี่ยนมาใช้เว็บไซต์อันใหม่ทั้งหมด และเปลี่ยนระบบ CMS จากเดิม Drupal มาเป็น WordPress

เว็บไซต์ whitehouse.gov อันใหม่เพิ่งเริ่มใช้งานเมื่อวันที่ 15 ธันวาคม 2017 โดยไม่ระบุว่าใช้ CMS ตัวใด แต่จากการขุดซอร์สโค้ดของเว็บไซต์ก็พบชื่อไฟล์และไดเรคทอรีขึ้นต้นด้วยคำว่า wp ซึ่งเป็นเอกลักษณ์ของ WordPress ส่วนธีมที่ใช้เป็นธีมสร้างพิเศษคือ WhiteHouse และใช้เลขเวอร์ชัน "45" ตามลำดับประธานาธิบดีของทรัมป์

ส่วนเหตุผลที่ย้ายมาใช้ WordPress เป็นเรื่องต้นทุนเป็นหลัก ตัวแทนของทำเนียบขาวระบุว่าประหยัดเงินได้มากกว่าเดิมปีละ 3 ล้านดอลลาร์ แต่ก็ไม่มีข้อมูลว่าเว็บไซต์เวอร์ชันนี้พัฒนาโดยบริษัทใด

ระบบ CMS Drupal ออกเวอร์ช่น 8.4.0 เมื่อวันที่ 4 ตุลาคม มีการปรับปรุงหลายรายการ ทั้งฟีเจอร์ใหม่ ประสิทธิภาพ และประสบการณ์การใช้งาน โดยมีสิ่งที่เพิ่มเติมเข้ามาดังนี้

Backdrop CMS คือซอฟต์แวร์ Content Management System ที่แยกโครงการ (fork) ออกมาจาก Drupal 7 เนื่องจากทีมพัฒนาไม่เห็นด้วยกับแนวทางของ Drupal 8 ที่ซับซ้อนเกินไป และมีการเปลี่ยนแปลงจาก Drupal 7 มากจนไม่สามารถใช้งานร่วมกันได้

ทีมงาน Backdrop จึงนำโค้ดของ Drupal 7 มาพัฒนาต่อโดยยังคงแกนหลักของระบบไว้ แต่ปรับปรุงเรื่อง usability ให้ดีกว่าเดิม, มีระบบจัดการคอนฟิกแบบใหม่, รวมโมดูลสำคัญบางตัวเข้ามาในแกนหลักของ CMS (มี Editor มาให้ตั้งแต่ต้น!) และยังคงพอร์ตโมดูลของ Drupal 7 มาใช้ร่วมกับ Backdrop ได้ง่าย

Backdrop มีกำหนดออกรุ่นย่อยทุก 4 เดือน (ออกปีละ 3 ครั้ง) และรุ่นแรกของปี 2017 คือ Backdrop 1.6 ก็เปิดตัวไปเมื่อวันก่อนแล้ว

งาน DrupalCamp Munich เมื่อวานนี้ ผู้ร่วมงานต่างประหลาดใจหลังได้รับนิตยสาร Playboy ในถุงของต้อนรับเข้าสู่งาน และวันนี้ผู้จัดก็ประกาศขออภัยกับการตัดสินใจครั้งนี้

ผู้จัดระบุว่า playboy.de เป็นเว็บขนาดใหญ่เว็บแรกๆ ที่ใช้ Drupal 8 ตั้งแต่ออกมา และทีมงานคิดว่าเป็นไอเดียที่ดีที่จะใส่นิตยสารไว้ในชุดต้อนรับ

สำหรับคนไทยคงไม่มีเกี่ยวกับเหตุการณ์นี้นัก แต่ตอนนี้ทั่วโลกก็ได้รับรู้ว่า playboy.de ใช้ Drupal 8

ที่มา - DrupalCamp

Drupal ออกแพตช์รวมช่องโหว่ความปลอดภัยตามรอบ (ที่สลับเดือนระหว่างการแก้บั๊กและการอุดช่องโหว่ความปลอดภัย) โดยรอบนี้ช่องโหว่มีความร้ายแรงระดับปานปลาง

ช่องโหว่ที่ร้ายแรงสักหน่อยใน Drupal 7 คือการฝัง URL ของหน้าเว็บภายนอกลงในแบบฟอร์มได้ ทำให้ผู้ใช้อาจจะถูกหลอกให้เข้าเว็บปลอมโดยไม่รู้ตัว ขณะที่ Drupal 8 มีช่องโหว่ที่โจมตีแบบให้ล่มได้เมื่อสร้าง URL อย่างจงใจ

แพตช์ชุดนี้มีช่องโหว่รวม 4 ช่องโหว่ อีก 2 ช่องโหว่เป็นช่องโหว่ระดับความร้ายแรงต่ำ อย่างไรผู้ดูแลก็ควรรีบแพตช์กันครับ

ที่มา - Drupal Security

ช่องโหว่ HTTPOXY อาศัยการอิมพลีเมนต์เซิร์ฟเวอร์ CGI หลายตัวที่รับค่า Proxy จาก HTTP header เมื่อเซิร์ฟเวอร์เหล่านี้กำลัง ดาวน์โหลด ข้อมูลผ่าน HTTP เมื่อได้รับค่า Proxy มาแล้วกลับตั้งค่าเป็น environment variable ในชื่อ HTTP_PROXY ทำให้การดาวน์โหลดครั้งอื่นๆ จะถูกส่งไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ต้องการได้ทันที

โครงการ Drupal จัดช่องโหว่นี้เป็นช่องโหว่ "วิกฤติระดับสูง" (highly critical) เพราะสามารถโจมตีได้โดยง่าย และหลังจากโจมตีแล้วเซิร์ฟเวอร์ของแฮกเกอร์สามารถดักการดาวน์โหลดจากเซิร์ฟเวอร์ที่ตกเป็นเหยื่อได้ทั้งหมด

ทีมงานความปลอดภัยของ Drupal ออกประกาศแจ้งเตือนว่ามีช่องโหว่ในโมดูลหลายตัวของ Drupal 7 มีช่องโหว่ระดับวิกฤติขั้นสูง (highly critical) เปิดช่องให้แฮกเกอร์สามารถรันโค้ด PHP บนเครื่องของเหยื่อได้ ผู้ดูแลระบบควรเตรียมอัพเดตโดย Drupal จะปล่อยอัพเดตคืนนี้ห้าทุ่มตรง ตามเวลาประเทศไทย

ประกาศไม่ได้บอกรายชื่อโมดูลที่ได้รับผลกระทบ แต่ระบุว่าโมดูลเหล่านี้มีเว็บไซต์ติดตั้งอยู่ 1,000 ถึง 10,000 ไซต์ แสดงว่าได้รับความนิยมสูงพอสมควร

ประกาศระดับนี้จาก Drupal มีไม่บ่อยนัก ปี 2015 ทั้งปีมีการประกาศช่องโหว่ระดับวิกฤติเพียงครั้งเดียว และการประกาศระดับวิกฤติขั้นสูงครั้งสุดท้ายคือปี 2014

คืนนี้ผู้ดูแล Drupal ควรเตรียมประจำการกันได้ครับ

Forkbombus Labs รายงานถึงมัลแวร์ข่มขู่เรียกค่าไถ่ที่มุ่งเป้าโจมตีเว็บไซต์ Drupal โดยอาศัยช่องโหว่ CVE-2014-3704 อายุสองปี และเป็นช่องโหว่ที่แก้ไปแล้วใน Drupal 7.32

ตัวมัลแวร์เมื่อโจมตีเว็บเหยื่อสำเร็จ จะสร้างหน้าอัพโหลดไฟล์ และอัพโหลดไบนารีที่พัฒนาด้วยภาษา Go จากนั้นเว็บจะแสดงหน้าจอแสดงข้อความ "Website is locked. Please transfer 1.4 BitCoin to address 3M6SQh8Q6d2j1B4JRCe2ESRLHT4vTDbSM9 to unlock content."

ตัวมัลแวร์ไม่ได้ทำลายข้อมูลส่วนใหญ่ในเว็บ ทำให้ส่วนมากมักจะกู้คืนฐานข้อมูลได้ จนตอนนี้ยังไม่มีรายงานว่ามีเหยื่อรายใดจ่ายเงินให้กับบัญชีบิตคอยน์นี้ แต่รายงานล่าสุดคาดว่ามีเว็บไซต์ที่เป็นเหยื่อมัลแวร์แล้วกว่า 400 เว็บไซต์

ความคืบหน้าเรื่องเอกสาร Panama Papers หลุดออกมาได้อย่างไร ข้อมูลก่อนหน้านี้คือบริษัท Mossack Fonseca บอกว่าโดนแฮ็กเมลเซิร์ฟเวอร์ แต่ล่าสุดมีข้อมูลเพิ่มเติมแล้วว่าอาจเกิดจากการใช้ CMS เวอร์ชันเก่าที่ไม่ยอมอัพเดตแพตช์

Forbes เปิดเผยว่าเว็บไซต์หลักของบริษัท Mossack Fonseca ใช้ WordPress เวอร์ชันเก่าประมาณ 3 เดือน แต่ที่เป็นปัญหาจริงๆ คือเว็บที่ให้ลูกค้าเข้ามาอัพเดตข้อมูล เป็น Drupal 7.23 อายุเก่าถึง 3 ปี (เวอร์ชันล่าสุดของ Drupal 7 ตอนนี้คือ 7.43)

Fernando Arnaboldi นักวิจัยด้านความปลอดภัยจากบริษัท IOActive สาธิตการแฮ็ก Drupal โดยอาศัยช่องโหว่ของ "กระบวนการอัพเดต" ซอฟต์แวร์ (ไม่ใช่ช่องโหว่ของตัวซอฟต์แวร์ Drupal โดยตรง)

ช่องโหว่นี้เกิดจากวิธีเช็คสถานะการอัพเดตตัวเองของ Drupal ที่ดึงไฟล์ XML จากเซิร์ฟเวอร์ updates.drupal.org มาแบบไม่เข้ารหัส ถ้าหากแฮ็กเกอร์สามารถเจาะเข้ามาในเครือข่ายเดียวกันได้ ก็สามารถปลอมไฟล์อัพเดตตัวนี้ได้ (man-in-the-middle) พอแอดมินเข้าระบบ Drupal จะเห็นข้อความเตือนให้อัพเดต ที่ชี้ไปยังไฟล์ปลอมที่แอบฝังมัลแวร์ไว้อีกทีหนึ่ง (Drupal ไม่ตรวจสอบแหล่งที่มาของไฟล์อัพเดตว่าเป็นของจริงหรือไม่)

Drupal 8 ระบบจัดการเนื้อหายอดนิยมตัวหนึ่ง (ที่เมืองไทยไม่ค่อยนิยม) ออกเวอร์ชั่นใหม่วันนี้ (19 พ.ย. 2558) โดยเป็นการออกแบบ และพัฒนาใหม่ทั้งหมด ไม่ได้อาศัยโค้ดจากเวอร์ชั่นเก่า

สำหรับในเวอร์ชั่นนี้พัฒนาด้วย PHP Framework ที่ชื่อ Symfony (เป็นตัวเดียวกับที่ใช้ใน Laravel ด้วย)

โดยมีจุดเด่นที่สำคัญจากเวอร์ชั่น 7 ดังนี้

Drupal พร้อมปล่อยดาวน์โหลด Drupal 8.0.0-rc1 ซึ่งถือเป็นรุ่น release candidate ตัวแรก หลังจากพัฒนากันมาอย่างยาวนาน (Drupal 8.0.0 beta 1 เปิดตัวเมื่อ 3 ตุลาคม 2014 (1 ปีพอดี))

Drupal 8.0.0-rc1 มาพร้อมคุณสมบัติใหม่หลายอย่าง เช่น

เมื่อวันที่ 15 ตุลาคมที่ผ่านมา Drupal ประกาศช่องโหว่ร้ายแรงหมายเลข SA-CORE-2014-005 ที่ทำให้ระบบโดน SQL injection ได้ และรีบออก Drupal 7.32 มาแก้ไข

อย่างไรก็ตาม แฮ็กเกอร์ไม่พลาดโอกาสนี้ และรีบสแกนหาเว็บที่ยังไม่อัพเดตแพตช์อย่างรวดเร็ว คล้อยหลังการประกาศแพตช์เพียงแค่ 7 ชั่วโมงเท่านั้น ผลคือเว็บ Drupal 7 ที่อัพเดตเป็น 7.32 ไม่ทันในช่วงเวลา 7 ชั่วโมงนี้ มีความเสี่ยงสูงที่จะโดนแฮ็กไปเรียบร้อยแล้ว

ทีมงาน Drupal เตือนว่าการสังเกตเว็บที่โดนแฮ็กทำได้ยากมาก และการอัพเดตเป็น 7.32 ตอนนี้ไม่ได้ช่วยเอา backdoor ออกจากระบบ ทางแก้คือตรวจสอบร่องรอยของเว็บอย่างละเอียด และเรียกคืนไฟล์-ฐานข้อมูลก่อนวันที่ 15 ตุลาคมมาใช้แทน

CMS ชื่อดังอย่าง Drupal ประกาศออก Drupal 8.0.0 beta 1 ซึ่งเป็นเวอร์ชันทดสอบถัดจากตัว alpha ที่ทดสอบมาสักพักใหญ่ ๆ แล้ว

Drupal 8 นั้นมีการปรับ user interface ในหน้า admin ขนานใหญ่อีกครั้ง (หลังจากที่เคยปรับไปใน Drupal 7) โดยคราวนี้ ได้ปรับ user interface ให้เข้ากับอุปกรณ์พกพาเป็นหลักและใช้งานได้ง่ายยิ่งขึ้น, ปรับ jQuery ในส่วน autocomplete ให้ฉลาดยิ่งขึ้น, ใช้เอนจินธีม "Twig", ปรับปรุงมาร์กอัพของ HTML5 ให้ดีขึ้น, text editor ใหม่แบบ WYSIWYG ทำให้สามารถเขียนบทความต่าง ๆ ได้ง่ายยิ่งขึ้น

ช่องโหว่ใหม่นี้ได้มีการรายงานครั้งแรกจาก Nir Goldshlager นักวิจัยด้านความปลอดภัยบน Salesforce.com ซึ่งเป็นช่องโหว่ด้าน XML มีผลกระทบ CMS ชื่อดังทั้งสองคือ WordPress และ Drupal ซึ่งรวมกันแล้วมีเว็บไซต์กว่าหลายล้านแห่งที่ตกอยู่ในความเสี่ยง

ช่องโหว่นี้จะเปิดให้ผู้ประสงค์ร้ายโจมตีในรูปแบบ XML Quadratic Blowup ที่ทำให้เอกสาร XML ขนาดเล็กๆ กินแรมจำนวนหลายกิกะไบต์ ซึ่งมากพอที่จะทำให้เซิร์ฟเวอร์หยุดทำงานไปชั่วขณะได้ ช่องโหว่นี้มีผลกระทบกับ WordPress ตั้งแต่เวอร์ชัน 3.5 - 3.9.1 และ Drupal เวอร์ชัน 6.x และ 7.x

โครงการโอเพนซอร์สทั่วไปจะมีเรื่องน่าหงุดหงิดอย่างหนึ่งคือการขอเพิ่มฟีเจอร์ที่โปรแกรมเมอร์ที่อยู่ในโครงการอาจจะไม่สนใจเพิ่มให้แม้จะมีคนพร้อมจ่ายเงิน กระบวนการปกติคือต้องหาโปรแกรมเมอร์ในโครงการแล้วขอจ้างเพื่อให้เพิ่มฟีเจอร์ให้ กลุ่มนักพัฒนากลุ่มหนึ่งจึงนำกระบวนการเช่นนี้ออกมาเป็นโครงการ Drupalfund

เป้าหมายของโครงการ Drupalfund คือนำความต้องการต่างๆ ในโครงการ Drupal ออกมาเป็นโครงการให้นักพัฒนาเสนอตัวรับแก้ไขหรือเพิ่มฟีเจอร์กันในราคาที่กำหนดแล้วเปิดให้คนที่ต้องการฟีเจอร์นั้นๆ มาระดมเงินสนับสนุนกันได้