3月に予告が出て、4月にその攻略手段が公開されたDrupalのセキュリティホール。当初のアナウンスが4月11日以降の危険度が24/25とほとんど絶望的な値になった。私は、自分が関わるサイトを3月29日に速攻でアップデートしたが、2週間後に問題点の解説がセキュリティソフトウェアの会社から紹介されると一気に自動攻撃のソフトが作成され、絨毯爆撃的に攻撃されるようになった。
実際、放置しておけば、確実にやられてしまうレベルの深刻な事態である。
一方で、Hacked Website Report 2017を見る限り、Drupalは他のCMSに比較すれば、比率で見ても被害は少ない。Wappalyzerによれば、Drupalのシェアは3位なのにセキュリティアタックの被害を受けたサイトのシェアは1.6%と小さい。一報、トップシェアのwordpressはシェア77%に対して、被害は83%である。Hacked Website Report 2017にThis data does not imply these platforms are more or less secure than others.と書かれているように、レポートでwordpressが弱いということを示すわけではないが、Drupalはサイト運営主体の運営活動を込みに考えた場合は安全であると考えるのは概ね妥当だろう。セキュリティ問題への対処が重要なサイトが多く、恐らくそういったサイトではほぼ間違いなく今回のアップデート対応はなされているはずだ。逆に、私が見ているレベルのサイトであれば、アップデートの手間はほとんどかからない。クリティカルなサイトを運営している組織が採用しているCMSならではの恩恵を受けているといえる。
報道記事は、クリティカルなセキュリティホールが見つかれば悪評を述べるし、実際にセキュリティホールはどんなプラットホームでも見つかる。安全を保つのはただではないのである。
今後、CMSは徐々にサイトのコンテンツを管理するバックエンド部分とフロントエンドの分離が進む。私は、やがてDrupalがトップシェアとなる日が来る可能性が極めて高いと考えているが、いつ本格的に風向きが変わるようになるかは神のみぞ知る。胸突き八丁は続く。