drupal 20 mayıs'ta acil güvenlik güncellemesi yayınlayacak
arkadaşlar, drupal ekibi acil bir duyuru yaptı. 20 mayıs 2026’da saat 17:00-21:00 utc arası (bizim saatimizle 20:00-00:00) tüm desteklenen sürümler için kritik bir güvenlik yaması yayınlayacaklarmış.
spoiler: drupal güvenlik ekibi “saatler ya da günler içinde exploit’ler geliştirilebilir” diye uyarıyor. yani bu iş ciddi, boş durmamanız lazım.
durum nedir?
drupal, php tabanlı içerik yönetim sistemi (cms) için kritik seviyede bir güvenlik açığı tespit etmiş. henüz detayları açıklamadılar ama aciliyet seviyesinden anlaşılıyor ki iş ciddiye binmiş.
güvenlik ekibi şöyle demiş: “bu zaman diliminde core güncellemeleriniz için zaman ayırmanızı şiddetle tavsiye ediyoruz çünkü sömürüler saatler veya günler içinde geliştirilebilir.”
dikkat: “tüm konfigürasyonlar etkilenmiyor” demişler ama hangi konfigürasyonların etkilendiğini henüz belirtmemişler. yani güvende olduğunuzu düşünmeyin, yama çıkınca detaylar netleşecek.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| Drupal 7.x | ⚠️ Muhtemelen etkileniyor |
| Drupal 9.x | ⚠️ Muhtemelen etkileniyor |
| Drupal 10.x | ⚠️ Muhtemelen etkileniyor |
| Drupal 11.x | ⚠️ Muhtemelen etkileniyor |
edit: drupal “tüm desteklenen dallar” demiş, yani kullandığınız sürüm hala destekleniyorsa büyük ihtimalle siz de etkileniyorsunuz.
şimdi ne yapacaksınız?
agalar, 20 mayıs akşamı için hazırlıklarınızı yapın:
1. hazırlık aşaması (hemen yapın)
# önce yedek alın (ciddiyim, atlamayın bunu)
drush sql-dump > backup_$(date +%Y%m%d).sql
tar -czf drupal_files_backup_$(date +%Y%m%d).tar.gz /var/www/html/drupal
# mevcut sürümünüzü kontrol edin
drush status | grep "Drupal version"
# test ortamınızı hazırlayın
# önce test ortamında yamalayacaksınız, sonra production'a geçeceksiniz
2. 20 mayıs akşamı (yama çıkınca)
# composer ile güncelleme (drupal 9+)
composer update drupal/core "drupal/core-*" --with-all-dependencies
# veya drush ile
drush up drupal
# veritabanı güncellemelerini çalıştırın
drush updatedb
# cache'i temizleyin
drush cr
3. güncelleme sonrası
# sürümü doğrulayın
drush status
# logları kontrol edin
tail -f /var/log/apache2/error.log
# veya nginx kullanıyorsanız
tail -f /var/log/nginx/error.log
# sitenizin çalıştığını test edin
curl -I https://siteniz.com
geçici çözümler
yama çıkana kadar yapabilecekleriniz:
1. waf kuralları sıkılaştırın:
- mod_security kullanıyorsanız kuralları güncelleyin
- cloudflare gibi cdn kullanıyorsanız “i’m under attack” modunu aktif edin
2. erişim kontrolü:
# admin paneline sadece bilinen ip'lerden erişim verin
# apache için .htaccess
<Location "/admin">
Require ip 192.168.1.0/24
Require ip ofis_ip_adresiniz
</Location>
# nginx için
location /admin {
allow 192.168.1.0/24;
allow ofis_ip_adresiniz;
deny all;
}
3. monitoring:
# anormal aktivite için logları izleyin
tail -f /var/log/apache2/access.log | grep "POST"
önemli notlar
- önce test ortamında deneyin: production’a atmadan önce mutlaka test edin, sonra site çökerse bana sormayın
- yedek alın: hem veritabanı hem de dosyaları yedekleyin, bu iş şaka değil
- bakım modu: güncelleme sırasında siteyi bakım moduna alın:
drush sset system.maintenance_mode 1 - zaman ayırın: akşam 20:00’dan sonra müsait olun, bu iş acele işi
edit: drupal genelde güvenlik yamalarında detaylı açıklama yapar. yama çıktıktan sonra drupal güvenlik sayfasını kontrol edin, hangi cve numarası verilmiş, cvss skoru ne, hangi konfigürasyonlar etkilenmiş hepsini orada bulursunuz.
kaynaklar
son söz
arkadaşlar, drupal’ın bu kadar acil duyuru yapması nadir görülen bir durum. demek ki iş ciddi. 20 mayıs akşamı için planlarınızı yapın, yedeklerinizi alın, test ortamınızı hazırlayın. yama çıkar çıkmaz önce test ortamında deneyin, sorun yoksa production’a geçin.
spoiler: “saatler içinde exploit geliştirilebilir” demişler. yani 21 mayıs sabahına kadar yamalamış olmanız lazım, yoksa kötü niyetli tipler exploit’lerini hazırlayıp dolaşmaya başlayacak.
hadi kolay gelsin, 20 mayıs’ta görüşürüz.
Bu içerik yapay zeka tarafından oluşturulmuştur.