A la hora de seleccionar una tecnología para desarrollar un CMS, Drupal se encuentra entre las tres tecnologías más usadas en Internet, alcanzando casi el 2% del total de sitios web a nivel mundial. No obstante, si por algo destaca Drupal frente a sus competidores directos, además de por su complejidad, es por ser el CMS más seguro hasta la fecha, especialmente desde el lanzamiento de Drupal 8.
Dicha reputación no es en vano, y así lo demuestra que organizaciones tan destacables como la NASA, la Ciudad de Londres o incluso una compañía tan grande y en la vanguardia de la tecnología como Tesla, utilicen Drupal como plataforma para sus sitios web.
Características por las que Drupal es más seguro
Ya hablamos en un artículo anterior sobre las actualizaciones de seguridad de Drupal, y en este artículo tratamos por qué Drupal cuenta con un conjunto de aspectos y características que lo convierten en el CMS más seguro del mercado, entre los que se encuentran:
#1 – El equipo de seguridad de Drupal
Drupal.org cuenta con dos equipos encargados de la seguridad que trabajan conjuntamente para que el core de la plataforma y todos sus módulos sean siempre seguros. El primero de ellos, el equipo de seguridad de Drupal, que cuenta con entre 30 y 40 desarrolladores en todo el mundo, más que en cualquier compañía con software propietario. Estos, además de encontrar y solucionar anomalías de forma regular, ejercen como consejeros de seguridad para el resto de desarrolladores, tanto de módulos contribuidos como los encargados de la infraestructura principal de Drupal.
Por otro lado, se encuentra el grupo de trabajo de seguridad, encargados de revisar las medidas tomadas por el equipo de seguridad de Drupal y de proveerles de todos los recursos necesarios. Además, ofrecen continuos consejos sobre buenas prácticas a todos los desarrolladores de plataformas Drupal para ayudar a que sus sistemas sean más seguros.
#2 – La comunidad de Drupal
Drupal cuenta con una de las comunidades de desarrolladores más grandes y extendidas del mundo, con más 1 millón de desarrolladores trabajando sobre la plataforma. Esto implica que hay gente trabajando continuamente, casi las 24 horas del día, con código de Drupal, ya sea del core o de módulos contribuidos, por lo que las anomalías y los fallos se detectan y solucionan muy rápido, ya sea por aportaciones de la comunidad o por el propio equipo de seguridad de Drupal. Esto también significa que es extremadamente poco común que una vulnerabilidad en la seguridad llegue a cualquier versión del core de Drupal.
Según el propio fundador de Drupal y encargado último del proyecto, Dries Buytaert, cuando le llega un parche para el core de Drupal, dicho parche ya ha pasado por entre 20 y 30 personas antes que él, entre desarrolladores de la comunidad y de los equipos de seguridad de Drupal.
#3 – Cumple con los estándares del OWASP
Contar con una comunidad tan grande y con equipos de seguridad dedicados exclusivamente al buen funcionamiento de la plataforma son dos aspectos tremendamente beneficiosos, pero todo su trabajo sería mucho más complicado si Drupal no estuviese bien construido desde su base.
La Open Web Application Security Project es una organización benéfica sin ánimo de lucro que se encarga de regularizar y mejorar la seguridad en el software. Drupal está construido sobre los estándares de la OWASP y, en consecuencia, cumple con todos ellos, lo que supone una gran ventaja en términos de seguridad.
Además, debido a que Drupal es una tecnología tan ampliamente usada, como ya se ha mencionado, y que entre algunos de sus usuarios se encuentran gobiernos de diferentes países, la plataforma se somete a auditorías de forma continua en busca de posibles vulnerabilidades en la seguridad. Esto convierte a Drupal, según Buytaert en lo que probablemente es la tecnología más auditada del mundo.
#4 – Cifrado de contraseña y base de datos y control de accesos
Desde el momento en el que se instala Drupal por primera vez, la contraseña que se introduce y que da acceso total al sitio web se guarda en la base de datos de forma cifrada. Para ello, se le aplica previamente un salt y, a continuación, se emplea una función de hash con un cifrado SHA512, lo cual hace que la contraseña sea prácticamente imposible de hackear.
Además, Drupal cuenta con una funcionalidad que permite cifrar la base de datos con la que trabaja, ya sea total o parcialmente. Por ejemplo, podría cifrarse únicamente la información relativa a las cuentas de los usuarios y a formularios de la web que puedan contener información sensible. Gracias a esta característica, Drupal puede configurarse para superar ciertos estándares y normativas legales referentes a la privacidad de los datos.
Por último, una característica que resulta tremendamente útil a la hora de gestionar la seguridad de un sistema Drupal es su control de accesos. Es habitual que mucha gente, con perfiles muy variados, tengan que acceder o hacer uso del sitio web, ya sea para editar contenidos, para meter traducciones o para modificar algunas configuraciones. Para ese fin, en Drupal existen los roles. Cada rol tiene asignados una serie de permisos que definen qué pueden y qué no pueden hacer los usuarios que tengan asignado ese rol. De esta forma, se limita el acceso a las características más críticas del sitio, proveyéndolo de una mayor seguridad.
Finalmente, Sucuri, una plataforma que analiza la seguridad de sitios web, publicó recientemente un informe en el cual habían analizado más de 34000 sitios web infectados, todos ellos CMSs de diferentes tecnologías.
Como puede verse en el gráfico de comparación, en el cual se muestra el porcentaje de sitios web infectados en cada tecnología en el tercer cuarto de 2016 y en 2017, Drupal no sólo es de lejos la plataforma con menos sitios web infectados, si no que, además, ha reducido el número de infecciones de un año a otro, estando a la altura de su reputación como el CMS más seguro del mercado.
Buenas prácticas para aumentar la Seguridad de Drupal
En Hiberus nos tomamos muy en serio la seguridad de nuestros clientes y sus sitios web. El trabajo que realizan desde Drupal.org, tanto los equipos de seguridad como todos aquellos que contribuyen su trabajo de forma libre, es de vital importancia para que las plataformas basadas en Drupal sigan siendo seguras. Sin embargo, todo ese trabajo no sirve de nada si nosotros no le prestamos atención.
Es por ello que, desde el departamento de CMS, nos mantenemos diariamente actualizados en todo lo relativo a los parches y nuevas actualizaciones de seguridad. En el momento en el que, desde el equipo de seguridad de Drupal.org, se comunica una nueva actualización de seguridad para el core o para cualquier módulo contribuido, nosotros nos encargamos de analizar todas las webs de nuestros clientes para evaluar si estas se verán afectadas o no por la vulnerabilidad detectada y, en tal caso, en qué medida.
En base a este análisis, contactamos con todos nuestros clientes afectados para informar del problema y de la solución que aplicaremos, de forma que el cliente esté siempre informado y podamos coordinarnos para que el impacto sobre su plataforma sea el menor posible.
Por otro lado, además de este seguimiento periódico y proactivo de las actualizaciones de seguridad que proveen desde Drupal.org, nosotros nos preocupamos de que nuestros clientes estén siempre informados del estado de sus sitios web. Por ello, realizamos informes mensuales de todos los sitios Drupal, en los cuales se indica si existen actualizaciones de seguridad pendientes para algunos de los módulos instalados en sus plataformas, o del propio core de Drupal, además de su severidad y posible impacto en caso de no realizar las actualizaciones indicadas.
En Hiberus contamos con un departamento de más de 60 desarrolladores Drupal. Nuestros más de 10 años de experiencia nos ha hecho trabajar en los principales casos de éxito Drupal a nivel nacional. Cuéntanos tu proyecto y conoce a nuestro equipo experto en Drupal.
¿Quieres más información sobre nuestros servicios de Drupal?
Contacta con nuestro equipo de Drupal