DRUPAL7を安全にアップデートする方法

Drupalのアップデート・リリースが多すぎて

アップデートが頻繁にあり、対応が追い付かない

または、対応しているものの、毎回時間を取られて大変。つきあいきれない。など、不満はありませんが？

昨年（2014年）の「Drupal脆弱性の脅威」より、マイナーアップデート、特にコアのセキュリティ・アップデートには敏感になっていると思います。

Drupalコミュニティ（セキュリティ・グループ）においても、従来より細かな単位でセキュリティ・アップデートをリリースしているような雰囲気です。

だからこそ、個々のサイトのアップデート対応が必要

必要なのはわかった上で、それでもリスクもあるし、時間もかかる。

どうせ必要なら、適切に無駄なく行いたいものです。

Drupalマイナー・アップデートのリスク

リスクとは？

マイナー・アップデートといっても、コア、拡張モジュール各々の修正、互換性、その他、完璧と言うことはありえません。

まして、Drupalコミュニティで配布されている拡張モジュール以外の独自モジュールや、独自のカスタマイズを加えたサイトにおいては、そのリスクはカスタマイズ内容にも依存します。

もちろん、カスタマイズにおいても、Drupalの開発思想に従い、コミュニティ配布のモジュールには手を加えず、モジュール作成作法に基づいたカスタマイズであったとしても、前提となるコアや拡張モジュールのAPIの変更などに注意を払う必要があります。

独自モジュールを追加していなかったとしても、ブロックやコンテンツ内でPHPを書いてしまっている場合においてもリスクは存在します。

それでもアップデートを行う

セキュリティの脅威から逃れるには

アップデートするしかありません。ここからは、極力リスクを避けるためのアップデート方法をご紹介します。

※ ここで紹介する方法は、弊社がDrupalサイトの開発・保守業務を通じて得た情報に基づいています。あなたのサイトが、弊社が今まで遭遇してきたDrupalサイトより、よりIllegalなカスタマイズを行っている場合、想定外の可能性があります。アップデートはあくまで自己責任でお願いします。
どうしても不安が消えない場合はご相談ください。

現状の把握とアップデート内容のチェック

現状の把握：カスタマイズ状態、改ざんの可能性もチェックする

まず、カスタマイズされている状態をチェックします。自分でカスタマイズしていたり、熟知している場合は毎回行う必要はありません。

コア、およびコミュニティ配布の拡張モジュールに対する変更有無を確認する。
■ チェック方法：
Drupal開発思想に違反しますが、ネット上の誤ったカスタマイズ手法に騙されたり、逃げの対策としてやっちゃってる場合がありますので、チェックします。
方法としては、タイムスタンプなどをチェックしたり、別ディレクトリに同バージョンをダウンロード＆展開し、コンペアしたりします。
利用中の拡張モジュールにコミュニティ配布のペンディング・パッチの適用有無。
上記1．■チェック方法：で発覚します。どキュメントや、パッチファイルの存在で分かる場合もあります。
サイト改ざんの可能性。
既存ファイルに関しては、上記1．■チェック方法：で発覚します。改ざんにより、新規のファイルが作成されている場合はファイルの有無も確認する必要があります。
目視で確認するのは厳しいので、Git等のバージョン管理ツールを入れておき、機械的にチェックできるようにしておくのがお勧めです。Drupal7には予めGit用のファイル（.gitignore）が入っています。
独自モジュールのチェック。
管理メニュー > レポート > 利用可能なアップデートを表示し、背景色がグレーのモジュールを探します。背景色がグレーのモジュールというのはDrupal公式コミュニティで対応していないモジュール・・・つまり独自モジュールです。

アップデート内容のチェック

管理メニュー > レポート > 利用可能なアップデートを表示し、「最新」以外のモジュールの「リリースノート」を確認します。ほとんどが不具合の修正ですが、中には機能面での修正がありますので、機能面での修正があった場合、サイトで利用している機能に影響がないかチェックします。
コアのアップデートの場合、たまにドキュメントルート以外の.htaccessやファイルに変更を要求する場合があります。
管理メニュー > レポート > 利用可能なアップデートを表示し、背景がグレーのモジュールに関しては独自ですので、「リリース」情報がありません。開発時のドキュメント、または直接ソースファイルを見てチェックします。