WordPress, Drupal y Joomla son los tres principales sistemas de gestión de contenido. Juntos forman los tres CMS más populares y ampliamente utilizados. En términos de seguridad, los CMS son una mina de oro para los piratas informáticos, ya que proporcionan los componentes básicos para gran parte de toda la net world. La popularidad de estos sistemas significa que son un objetivo principal para los piratas informáticos. Por esta razón, los sistemas se han desarrollado a lo largo del tiempo para que sean extremadamente seguros. Todos los servicios son proyectos gratuitos y de código abierto que usan extensiones y complementos para complementar el código base y habilitar funciones adicionales. Individualmente, todos ofrecen un enfoque diferente de la seguridad, pero tienen similitudes en el sentido de que todos se basan en el lenguaje de secuencias de comandos PHP y admiten el uso de sistemas de gestión de bases de datos relacionales, principalmente MySQL.
wordpress
WordPress es sin duda el CMS más widespread del planeta, y por ello está expuesto a la atención constante de los hackers. El equipo de seguridad de WordPress está compuesto por 25 expertos, incluidos desarrolladores principales e investigadores de seguridad. Una cifra que parece baja, teniendo en cuenta que el número de sitios que ejecutan WordPress ronda los 75 millones y acumula hasta el 27% de toda la crimson.
WordPress ofrece seguridad mejorada para miembros para su servicio pago: WordPress VIP. Al pagar el tratamiento VIP, un grupo dedicado realizará una revisión profunda del código para encontrar vulnerabilidades. También guiarán a los clientes con sugerencias sobre las mejores prácticas de desarrollo para garantizar que el sitio viva sin costos de mantenimiento significativos o problemas importantes.
La principal vulnerabilidad de seguridad en WordPress, y la mayoría de los CMS, son los puntos de entrada creados con complementos y extensiones de terceros, que representan el 56 % de las vulnerabilidades conocidas en WP. En common, la seguridad está al nivel necesario para proteger tantos sitios, y el equipo de mantenimiento actualiza con frecuencia las sugerencias de seguridad para guiar a los usuarios sobre las mejores prácticas de seguridad.
Joomla!
Joomla es un CMS fácil de usar que atrae a aquellos que tienen experiencia y conocimiento limitados en la gestión de contenido en línea, o que buscan una solución de CMS easy. Esto significa que, aunque el núcleo de Joomla es muy seguro, existen dificultades en las que los usuarios pueden caer al implementar su sistema sin configurar correctamente todos los componentes del sistema.
La documentación puesta a disposición por Joomla anima a los usuarios a centrarse en lo que pueden hacer para mejorar la seguridad de su sistema, en lugar de confiar únicamente en el sistema en sí. Cabe señalar que Joomla tiene la menor cantidad de personas en su equipo de seguridad con solo 13 personas, pero brinda una guía sólida para las personas que usan sus servicios para configurar la seguridad de manera adecuada.
Drupal
Drupal es considerado el más seguro de los tres grandes, diseñado para los usuarios más expertos en tecnología, tiene la capacidad de admitir grandes cantidades de contenido complejo. La comunidad de Drupal se toma muy en serio la seguridad y cuenta con un grupo de cuarenta personas totalmente voluntarias que trabajan para mejorar y mantener la seguridad del proyecto Drupal.
La escalabilidad a sitios grandes es lo que distingue a Drupal de las otras dos ofertas, y la lista de sitios de Drupal utilizados por gobiernos estatales, provinciales y nacionales es la indicación perfecta de que el sistema es altamente seguro. Los sitios gubernamentales, incluida la Casa Blanca, la Cámara de Representantes y todos los departamentos del gobierno de EE. UU. utilizan Drupla. Estoy seguro de que los responsables de administrar estos sitios han sido consultados por algunos de los principales expertos en seguridad de la información que Drupal es la mejor manera de administrar datos altamente clasificados en línea.
Comparación estadística
El sistema de vulnerabilidades y exposiciones comunes (CVE) proporciona una línea de base para las vulnerabilidades y exposiciones de seguridad de la información conocidas públicamente. El CVE está financiado por la División Nacional de Seguridad Cibernética de Seguridad Nacional de EE. UU. y se considera una de las fuentes más confiables de calificaciones de seguridad cibernética. De acuerdo con los datos de CVE, si compara la participación de mercado con la tasa de incidentes, Drupal obtiene la menor cantidad de incidentes en comparación con la participación de mercado y, desde 2005, Joomla ha encontrado la mayor cantidad de vulnerabilidades, con 327.
Drupal pasó por un momento difícil en 2008 cuando el equipo de seguridad tuvo que lidiar con 75 vulnerabilidades conocidas y 52 al año siguiente. Para poner eso en perspectiva, solo se encontraron 29 vulnerabilidades en 2015 y 2016 combinados, lo que muestra la determinación de reducir esos números por parte del equipo de seguridad en los últimos años.
El 46% del complete de vulnerabilidades encontradas en Drupal consistía en secuencias de comandos entre sitios (XSS), que se refieren a un ataque de inyección de código en el que un atacante puede ejecutar secuencias de comandos maliciosas en un sitio net legítimo. Método utilizado para eludir el management de acceso y obtener acceso no autorizado. El 39% de las vulnerabilidades de WordPress también se debieron a secuencias de comandos entre sitios y el 15% de las vulnerabilidades totales de Joomla.
El porcentaje de vulnerabilidad de Joomla se compone principalmente de fallas de ejecución de código (54 %), vulnerabilidades que permiten la ejecución e inyección de shellcode para brindarle a un atacante la capacidad de manipular un sistema para otorgar privilegios de administrador. Joomla también ha luchado contra los ataques de inyección SQL (40 % del complete de vulnerabilidades), en los que las declaraciones SQL (consultas de la base de datos) se insertan en un campo de entrada para que las ejecute el atacante, lo que les permite realizar acciones como volcar el contenido de la base de datos. en sí mismos para una mayor investigación. Drupal y WordPress son mucho mejores para defenderse contra la ejecución de código y los ataques de inyección SQL.
Con la implementación correcta de seguridad de la información, es válido utilizar uno de los tres grandes como el CMS adecuado según las necesidades del negocio. Un CMS más robusto y seguro como Drupla puede ser más apropiado para grandes conjuntos de datos y gestión de contenido complejo. Para un tipo diferente de experiencia donde se utiliza la facilidad de uso y menos cantidad de datos complejos, Joomla o WordPress pueden ofrecer una mejor solución. En cualquier caso, no existe una garantía del 100% de que no se produzca una brecha de seguridad y las medidas adoptadas para proteger el sistema son tan importantes como la seguridad de los propios sistemas.
Conclusión
En common, Drupal ofrece el sistema más centrado en la seguridad, y el equipo de voluntarios dedicados ha hecho bien en mantener bajas las estadísticas de vulnerabilidad últimamente. Mientras que Joomla ofrece la menor seguridad basada en estadísticas y la menor cantidad de personas que trabajan para su equipo de seguridad interno. Con la popularidad de WordPress, es casi imposible crear un entorno completamente seguro, pero con una planificación cuidadosa y un uso cuidadoso de los complementos, es posible aumentar la seguridad a un nivel adecuado.