¿Por qué es más seguro diseñar una web con Drupal?

De acuerdo a las estadísticas del FBI, el 75% de las pymes estadounidenses han sido víctima de un ataque informático. Y, según el equipo de seguridad de Drupal, el 25% también, pero no lo sabe.  Bromas aparte, la ciberseguridad es cada vez un aspecto más importante de la cara online de las empresas. Ya no es suficiente con diseñar una web atractiva, con un SEO atractivo para que esté bien posicionada en buscadores, navegable, responsive, que satisfaga a los clientes… No. Una web, especialmente si maneja datos de terceros, debe ser segura.

Una de las claves de la caída del navegador web de Microsoft, Internet Explorer, fue el gran número de agujeros de ciberseguridad. Brechas cuyo arreglo recaía enteramente sobre la empresa de Bill Gates –entonces CEO- y que dejó la imagen de seguridad de la compañía por los suelos.

La posterior era de la “democratización” del diseño web – cualquiera puede diseñar una web sin conocimientos muy especializados- dejó la puerta abierta a plataformas poco seguras o a diseñadores que dejaban inadvertidamente entradas a la seguridad de su web del tamaño del acueducto de Segovia.

Mayor seguridad de Drupal frente a ciberataques

Hemos hablado en otras ocasiones de Drupal, en relación a las ventajas que pensamos proporciona a la hora de diseñar y mantener una web. En el caso de la ciberseguridad, no es una excepción; no en vano, este fue un aspecto que influyó poderosamente sobre la Casa Blanca a la hora de rediseñar su web con Drupal. En la última convención Drupal, celebrada en 2015 en Los Ángeles, el tema de la ciberseguridad fue uno de los puntos importantes tratados.

Lo primero es identificar el nivel de riesgo que puede tener un sitio web. Si se trata de un blog, por ejemplo, lo más seguro es que el peligro esté en que se use para hacer spam; si se trata de una empresa que maneja datos sensibles de sus clientes, todos sabemos lo que puede pasar… Esta reflexión debe extenderse al terreno legal, ya que según sea una u otra la actividad de un sitio web, las regulaciones de cada país pueden exigirnos proveer a la página de un nivel determinado de ciberseguridad, para garantizar su resistencia ante ataques de hackers.

Según datos del Drupal Security Team, de las 10 vulnerabilidades más comunes que afectan al software de código abierto, Drupal tiene mayores incidencias únicamente en dos de ellas. La plataforma, no obstante, ha hecho los deberes para evitar que se conviertan en un mal endémico.

Los ataques informáticos más comunes

La primera es la inyección y modificación maliciosa de código web por parte de hackers para realizar modificaciones. Por ejemplo, hacer que la pasarela de pago que usa una web de comercio electrónico derive los ingresos a otra cuenta. Con lo que ya puedes tener una web preciosa, con un funnel de compra bien articulado, que el dinero se va para otro lado.

La sugerencia del equipo de Drupal Security es la de detectar este tipo de vulnerabilidades con tests incluidos en el código. De acuerdo a sus estimaciones, funcional al 90%.

Otro de los “clásicos” es cuando el hackeo consigue superar los controles de seguridad para hacerse pasar por un usuario autorizado. En este caso, por ejemplo, sería capaz de ocultar dentro del código una serie de órdenes para que la web envíe constantemente spam. Con lo que pronto entraría en la lista negra de los buscadores, y su posicionamiento web descendería a pasos agigantados.

la seguridad en una web drupal


Este es un problema complejo, por lo que hay que trabajarlo en varios niveles; lo primero, sin embargo, es introducir tests automáticos de detección en el código de la web, y posteriormente se puede trabajar con filtros para eliminar la ponzoña que salía al exterior.

O compartir servidor de alojamiento web con un site infectado, y que el malware se desplace de este al nuestro, cambiando la Home, por ejemplo. Una solución es cambiar a un hosting exclusivo de Drupal, donde es más difícil que tenga lugar un contagio.

Cómo mejorar la seguridad

Naturalmente, las recomendaciones base del equipo de Drupal Security pasan por lo siguiente:

  1. Es necesario prestar atención al problema de la ciberseguridad: disponer tanto de un presupuesto, como tener un profesional a mano, como tiempo para atajar el problema antes de que se convierta en un tsunami.
  2. Es necesario mantener lo más actualizado posible el sitio; con las actualizaciones oficiales de seguridad que se van liberando cada cierto tiempo, y con la de los elementos de terceros incluidos, una vez que estas han sido comprobadas.
  3. Estar al tanto de las novedades de Drupal Security Team, bien a través de Twitter (@drupalsecurity) o de su web (www.drupal.org/security).
  4. Si eres capaz de hacekear la última versión de Drupal, Drupal 8, están dispuestos a pagarte por cada problema de seguridad que encuentres. No, en serio.

 

 

Quiero tener una web segura