Como proyecto de código abierto, Drupal tiene la ventaja del escrutinio, el mantenimiento y las aportaciones continuas de los desarrolladores de todo el mundo, así como un equipo de personas expertas en seguridad que colaboran de forma constante para abordar y lanzar correcciones de seguridad.
Con más de 1,000,000 de desarrolladores en todo el mundo contribuyendo (lo cual incluye un gran ecosistema de proveedores de servicios profesionales) el resultado es una de las plataformas más seguras y estables del mercado.
Drupal es resistente a las vulnerabilidades críticas de Internet, como lo demuestra el historial comprobado de más de 15 años del Equipo de Seguridad dedicado a identificar y mitigar vulnerabilidades potenciales. Muchos problemas de seguridad se evitan por completo mediante los sólidos estándares de codificación de Drupal y el estricto proceso de revisión del código por parte de la comunidad.
Como resultado, sitios y aplicaciones de misión crítica eligen Drupal, probando su seguridad contra los estándares más estrictos. Bancos, gobiernos, la administración pública y el sector de la salud, son los sectores de más rápido crecimiento en la adopción de Drupal, principalmente por su rigurosidad en la seguridad.
Recientemente, la Comisión Europea comenzó a financiar a Drupal como una inversión en sus entidades.
La seguridad de Drupal garantiza:
- Control de acceso de usuarios.
- Cifrado de base de datos.
- Intercambio de información a través de informes de seguridad.
- Actualización automática y validación del núcleo en asociación con GitHub.
- Prevención de la entrada de datos maliciosos.
- Mitigación de ataques de denegación de servicio (DoS).
- Parcheo de problemas antes de que sean detectados.
Algunas preguntas frecuentes que se plantean los usuarios son:
¿Es seguro el software de código abierto?
El software de código abierto es igual o más seguro (en general) que el software propietario (donde la visibilidad del código fuente está estrictamente protegida y muy restringida).
Cómo aborda Drupal las vulnerabilidades de seguridad comunes.
La API de Drupal y la configuración predeterminada están diseñadas para ser seguras cuando se utilizan en sus modos predeterminados. Problemas como inyección de código, cross-site scripting, administración de sesiones, falsificaciones de solicitudes entre sitios y otros, todos tienen soluciones estándar en la API de Drupal.
¿Por qué Drupal tiene más (o menos) avisos de seguridad que otros proyectos?
A diferencia de muchos proyectos que son propiedad de empresas con reputación comercial, los proyectos de código abierto impulsados por la comunidad como Drupal no tienen ningún incentivo para ocultar vulnerabilidades de seguridad, o incluso posibles vulnerabilidades.
Una notificación de seguridad también indica el descubrimiento de un problema potencial y también que el problema ya está resuelto. Es extremadamente raro que tales huecos de seguridad sean aprovechados antes de que se anuncie la solución en una notificación del equipo de seguridad. Por lo tanto, la protección más importante es mantener Drupal actualizado cada vez que se emite una notificación de seguridad para el núcleo de Drupal o el código contribuido que se esté utilizando.
En los sitios activos, ¿qué vulnerabilidades se han encontrado?
Las auditorías profesionales de seguridad de los sitios Drupal generalmente han encontrado que la gran mayoría de los huecos de seguridad (90% o más) están presentes en los temas personalizados o en los módulos escritos por los desarrolladores del sitio, ya que ese código no recibió el mismo escrutinio público que recibe todo el código de drupal.org.
Adicionalmente, es más probable que los problemas a nivel del servidor (como el uso de protocolos inseguros como FTP) sean el medio de un ataque exitoso que una vulnerabilidad en Drupal, especialmente en el núcleo de Drupal.
Cualquiera que use Drupal debe suscribirse a la lista de correo de seguridad (editando el perfil de su cuenta ) para mantenerse actualizado automáticamente con las más recientes notificaciones de seguridad.