¿Es seguro Drupal?
Con una sola línea podríamos responder esta pregunta:
- La web de la casa blanca (https://www.whitehouse.gov/) está realizada en Drupal.
Sin embargo, es importante aclarar algunos aspectos para que los propietarios de webs Drupal sepan las medidas a tener en cuenta para que su web sea igualmente segura.
Seguridad Drupal
El código fuente de Drupal es libre y por lo tanto está a disposición de aquellas personas que lo quieran revisar.
Todo el mundo puede buscar en su código puntos débiles, fallos o brechas de seguridad.
Por suerte, la mayoría de las personas que están día a día tocando el código fuente de Drupal - millares de personas - están del lado de la comunidad Drupal.
En un símil, es como si un ladrón tuvieran el mapa de un banco, pero a la vez un número muy superior de expertos estuviera viendo el mismo mapa para proponer e implantar medidas de seguridad en un banco ya seguro de por si.
A la práctica, cuando se encuentra una posible brecha, el mismo día se publica un parche de seguridad, por lo que raramente Drupal ha vivido un día crítico con un fallo conocido al descubierto.
Capas de seguridad Drupal.
A parte, Drupal cuenta con muchas capas de seguridad y unos estandares de desarrollos muy exigentes.
Sin duda el núcleo de Drupal, que es el que contiene y controla los aspectos más sensibles de Drupal es la parte más sólida, robusta e inaccesible.
Así pues, cuando nos referimos a fallos de seguridad en Drupal o brechas, generalmente estamos hablando de fallos en módulos contribuidos: *los módulos que desarrollan terceros y “donan” a la comunidad.
Estos módulos son revisados por la comunidad y un equipo propio de seguridad de Drupal. Los módulos son publicados después de su revisión.
Todos estos niveles no impiden que una web Drupal sea atacada o hackeada, pero generalmente el ataque no será grave.
Continuando con el símil del banco, podríamos decir que los ladrones en algún caso podrán romper la puerta de entrada pero no las de las instalaciones importantes.
Seguridad Drupal vs Código propio
La ventaja de un código propio, es que no está documentado y por lo tanto el pirata informático no dispone del mapa del banco. Por otro lado es fácil, que empiece a probar entrar por fuerza bruta y con poco esfuerzo encuentre la inyección de código que funcione. Además es probable que, una vez ha traspasado el primer nivel llegue directamente hasta la caja.
En un Drupal actualizado le será mil veces más difícil penetrar, y llegar a la caja le será imposible *(a no ser que esté entre los mejores piratas del mundo).
Mantenimiento Drupal
Tener un Drupal sin actualizar es como tener la mejor caja de fuerte y dejarse la puerta abierta.
La desventaja de un Drupal desactualizado es enorme: no solo queda a tiro de un buen pirata informático sino que está a tiro de aficionados a la piratería informática que simplemente van a tener que buscar las brechas publicadas en Internet (incluso en la misma web de Drupal) y empezar a testar aun sin saber ni lo que están haciendo.
Como hemos dicho, estas brechas seguramente no pasen de derribar el primer acceso y el núcleo quede intacto, pero en la superficie, lo que ve el usuario puede que quede caído y con la imagen típica y tétrica de “sitio hackeado”.
Realizar un buen mantenimiento es clave para tener un sito seguro, si no se llevan a cabo las actualizaciones de seguridad en Drupal, quedamos desprotegidos.
Actualizaciones de seguridad Drupal
Los módulos Drupal, día a día se van actualizando. Drupal tiene una política seria de actualizaciones. Las actualizaciones suelen salir todos los meses (salvo cuando hay una actualización que se considera urgente, que se publica al mismo día en el que se encuentra la solución).
La mayoría de actualizaciones suelen ser de bugfixing (actualizaciones para corregir pequeños fallos sin importancia), por lo que, a nivel de seguridad, no hace falta que se lleven todas a cabo, pero sí que hay que estar atento a tener muy al día las que se refieren a seguridad.
Expertos en seguridad Drupal
Un experto en seguridad Drupal debe estar comunicado con el centro de seguridad de Drupal y aplicar periódicamente las actualizaciones de seguridad de los módulos de los sitios web que administra.
Tan importante como llevar la el mantenimiento Drupal al día, es que el desarrollo del sitio Drupal se haya hecho siguiendo las buenas prácticas y las normas de seguridad de Drupal.
El nivel de dificultad de aprendizaje de Drupal hace que a veces, programadores con poca experiencia en Drupal, lleven a cabo pequeñas infracciones en el desarrollo de Drupal. Estas pequeñas infracciones pueden salvar un problema puntual de desarrollo, pero también repercutir en toda la solidez de Drupal, por ejemplo haciendo que las actualizaciones no se instalen bien o desprotegiendo el núcleo.
Drupal permite llevar a cabo un mismo proyecto de diversas maneras y siempre hay una manera mejor. Es importante que entre las consideraciones no se pierda de vista la mejor manera de realizar Drupal para que además de ser la mejor manera a nivel práctico, lo sea a nivel de seguridad.
En un desarrollo Drupal puede ser que intervengan varias personas con distintos niveles de Drupal, la flexibilidad de este CMS hace posible esta mezcla. Si Drupal se hace en equipo es importante que los que tengan más nivel estén atentos al correcto uso de la tecnología para que no se lleven a cabo errores que repercutan en la seguridad.
Auditorías de seguridad Drupal.
Para sitios ya desarrollados en Drupal que presentan problemas varios, y entre ellos problemas de seguridad, es aconsejable realizar una auditoría téncica Drupal completa para poder tener una visión global de la instalación de Drupal y anotar los posibles puntos errores cometidos en el desarrollo.
Drupal vs joomla vs wordpress, ¿cual es el CMS más seguro?
El hecho de que la web de la Casa Blanca esté realizada en Drupal da una idea de lo seguro que es este CMS.
Sin embargo, tanto Wordpress, Joomla y Drupal, son CMS son muy seguros. Lo importante es disponer de un buen desarrollador profesional y con experiencia, que nos dé la garantía de que el sitio se ha realizado siguiendo las buenas prácticas del protocolo de desarrollo de la tecnología. A partir de aquí, tan importante como esto, es llevar a cabo las actualizaciones de la tecnología y módulos.
Si no empeñamos en hacer un podio en el que ubicar estas tres tecnologías (si nos obligáis lo haremos): Drupal es el primer clasificado por su estructura en capas de seguridad y el nivel y robustez de su núcleo. Sin duda.