Drupal è sicuro?

Drupal è uno dei CMS Open Source più utilizzati, un’applicazione affermatasi nonostante una curva di apprendimento in buona parte più ripida rispetto a quella di soluzioni alternative, come Joomla e WordPress, alla quale si associano i rilasci poco frequenti delle nuove versioni; in attesa della release definitiva di Drupal 8, gli sviluppatori del progetto hanno deciso di aggiornare alcune FAQ presenti nella documentazione ufficiale, questo per rispondere alla domanda: Drupal è un CMS sicuro?

Per fornire una risposta a riguardo, gli autori sono partiti da una considerazione generale relativa alla sicurezza delle soluzioni rilasciate sotto licenza Open Source, ciò facendo riferimento a un intervento della IBM sulle implicazioni relative all’utilizzo del software libero in alternativa a quello commerciale che, non mettendo a disposizione il proprio sorgente, risulterebbe più difficile da monitorare. Del resto, ricorda il team del CMS, se per il sito Web della Casa Bianca è stato scelto proprio Drupal un motivo ci sarà..

Nell FAQ si fa poi riferimento all’API (Application Programming Interface) del progetto e alla sua configurazione predefinita, entrambe prevedrebbero delle soluzioni standard per il contrasto ad attacchi basati su Injection, Cross Site Scripting, Session Management e Cross Site Request Forgeries; il fatto che l’attività di Drupal sia caratterizzata almeno apparentemente da un minor numero di bollettini di sicurezza non significa necessariamente che il suo core e i moduli a corredo non vengano passati continuamente al setaccio.

In linea generale Drupal dovrebbe essere considerato come una soluzione affidabile, ma il suo livello di sicurezza dipenderebbe in particolare da due fattori: l’aggiornamento delle installazioni in fase di produzione e la qualità degli interventi operati dagli utilizzatori, infatti, ben il 90% delle vulnerabilità riguardanti l’applicazione farebbe riferimento a temi personalizzati e moduli creati da sviluppatori di terze parti. Da non sottovalutare anche l’importanza di un altro aspetto non direttamente collegato al sorgente del CMS, come la configurazione del server ospitante.

Via Drupal Community Documentation