Na 14 jaar bestaan heeft het Drupal Security Team besloten om de einddatum voor het einde van de levensduur van Drupal 7 vast te stellen op 5 januari 2025. Maar wat zijn de risico’s als je op een versie van Drupal blijft hangen die het einde van zijn levensduur heeft bereikt? leven? Wij zullen u alles uitleggen.
De afgelopen jaren is Drupal 7 ondanks de releases van versies 8, 9 en 10 populair gebleven. Begin oktober 2022 stond ruim de helft van alle Drupal websites nog op versie 7 van het CMS. Dit is de belangrijkste reden waarom de ondersteuning meerdere keren werd uitgebreid, terwijl de ondersteuning voor Drupal 8 en 9 al niet meer actief was.
Het gemiddelde wekelijkse gebruik van Drupal 7 wereldwijd daalt echter gestaag. De volgende infographic is afkomstig uit Drupal Core-gebruiksstatistieken.
Er is onlangs een drempel bereikt. Er wordt niet langer voldoende gebruik gemaakt van Drupal 7 om de middelen die zijn toegewezen aan het onderhouden en ondersteunen van updates voor deze versie te rechtvaardigen. Het is logischer om diezelfde bronnen te besteden aan nieuwere versies van het CMS.
Voor sites die nog steeds Drupal versie 7 draaien, zullen de risico’s van het onderhouden van die versie vroeg of laat ruimschoots opwegen tegen de kosten van het upgraden naar een nieuwere versie van Drupal. Dit impliceert dus dat als een website die op Drupal 7 draait, een probleem tegenkomt, dit moeilijk of zelfs duur zal zijn om op te lossen.
Concentreer u op de komende veranderingen en de risico’s waaraan u zichzelf blootstelt door op Drupal 7 te blijven.
Wijzigingen die al actueel zijn voor uw site in Drupal 7
De Drupal-gemeenschap heeft een aantal beslissingen genomen die vandaag al gevolgen hebben.
- Niet-ondersteunde modules en thema’s blijven zoals ze zijn
Vanaf 1 augustus 2023 worden alle modules of thema’s die zijn bijgedragen aan Drupal 7 en die als niet-ondersteund zijn gemarkeerd, permanent niet meer ondersteund. Er zal dus geen mogelijkheid meer zijn om deze modules of thema’s ter hand te nemen, zoals voorheen al het geval was. Er zullen geen beveiligingsadviezen zijn voor niet-ondersteunde bibliotheken waar door Drupal 7 geleverde modules of thema’s op vertrouwen (zoals bijvoorbeeld CKEditor 4).
- Niet-kritieke Drupal 7-problemen kunnen openbaar worden
Sinds 1 augustus 2023 kan het Drupal-beveiligingsteam besluiten de open source (en dus publieke) gemeenschap uit te nodigen om te helpen bij het oplossen van niet-kritieke Drupal 7-problemen. De uitgever zal deze problemen kiezen op basis van beveiligingsrisiconiveaus. Alleen kwesties die niet op grote schaal kunnen worden geëxploiteerd, zullen openbaar worden gedeeld. Als een probleem zowel Drupal 7 als 10 treft, kan er een Drupal 10-beveiligingsadvies worden uitgebracht zonder een bijbehorende Drupal 7-patch.
- PHP 5.5 en eerder worden niet langer ondersteund
Vanaf 1 juli 2023 brengt het Drupal Security-team alleen nog fixes uit voor PHP 5.6 en hoger. Zij kunnen dit beleid vóór het einde van Drupal 7 aanpassen met een opzegtermijn van één maand.
- Niet-ondersteunde bibliotheken van derden
Bibliotheken van derden die met Drupal 7 worden gebruikt, kunnen op elk moment als niet-ondersteund worden gemarkeerd op basis van hun vereisten of beëindiging (zoals CKEditor, TinyMCE, phpSolr, enz.)
Wat gebeurt er in januari 2025?
Andere veranderingen zijn uiteraard begin 2025 te verwachten. Hiervan kunnen we met name noemen:
- Een bericht in de beheerdersinterface om Drupal 7-gebruikers te informeren dat hun website niet veilig is.
- Sites die nog op Drupal 7 staan, kunnen tijdens analyses door derden (pentests) als onveilig worden gemarkeerd.
- Drupal 7-problemen, inclusief kritieke problemen, kunnen ook zonder correctie of kennisgeving openbaar worden gemaakt.
- In tegenstelling tot Drupal 6 zal de Drupal Association geen langdurige ondersteuning voor Drupal 7 bevorderen na het einde van zijn levensduur.
Wat zijn de risico’s als je Drupal 7 gebruikt na het einde van de levensduur?
Het onderhouden van Drupal 7 na het einde van de levensduur is geen veilige of praktische optie. Het zou feitelijk zijn:
Uzelf blootstellen aan veiligheidsrisico’s
Uw site ontvangt geen updates van het Drupal-beveiligingsteam. Onopgeloste kritieke kwetsbaarheden kunnen openbaar worden gemaakt, waardoor uw site een nog groter risico loopt. Software die het einde van zijn levensduur heeft bereikt, vereist soms andere componenten die niet veilig zijn, wat ook de risico’s vergroot.
Beperk uw bereik en partnerschappen
Als uw site Drupal 7 is, zullen scanners voor beveiligingsproblemen deze waarschijnlijk als onveilig markeren. De meeste grote bedrijven staan niet toe dat afgedankte software intern wordt uitgevoerd, en beveiligingsframeworks (PCI_DSS, FedRAMP, FISMA) verbieden afgedankte software.
Verklein uw kansen
Drupal.org ondersteunt niet langer Drupal 7-gerelateerde taken (inclusief documentatie, navigatie, geautomatiseerd testen en verpakken). Bovendien verliest uw site zijn waarde zonder toegang tot nieuwe functies die in latere versies van Drupal zijn toegevoegd.
Waarom migreren naar Drupal 10?
Veel bedrijven stellen de migratie van hun website uit vanwege de kosten en tijd die ermee gemoeid zijn. In 2024 is het echt tijd om de stap te zetten!
Overweeg om naar Drupal 10 te migreren als basisinvestering. Drupal 10 en later nemen afscheid van verouderde platforms, met semantische releases en upgradepaden voor alle aankomende grote releases.
Profiteer van de vele voordelen van Drupal 10: Beveiligingswinst
- Beveiligingswinst
- Prestatiewinst
- Toegankelijkheidsverbeteringen
- Verbeteringen in de gebruikersinterface (UI).
- Verbeteringen tussen browsers en apparaten
- Functieverbeteringen
- Toegang tot modernere externe raamwerken
- API-gestuurde architectuur
- Bredere en actievere gemeenschapsondersteuning
- Lagere kosten op lange termijn
Enkele beperkingen waarmee u rekening moet houden:
- Migratiekosten
- Afhankelijkheid van oude bijgedragen modules of API-frameworks
- Verouderde hostingarchitectuur
Lees ook: 5 goede redenen om naar Drupal 10 te migreren
Wij kunnen u helpen met de migratie naar Drupal 10
Elke website is anders en het evalueren van de moeite om van Drupal 7 over te stappen kan lastig zijn. Daarom kunnen wij u helpen met dit proces. Contraste Digital heeft ruim 15 jaar ervaring met het uitvoeren van audits en migraties van Drupal-sites. (zie onze prestaties) Wij geven u betrouwbare aanbevelingen, aangepast aan uw platformen en uw behoeften.