Políticas de seguridad en Drupal

Qué hace que Drupal sea uno de los CMS más seguros

Por qué es importante tener nuestros portales actualizados

Drupal es uno de los CMS (Content Management Systems) más seguros, entre otras cosas por los siguientes motivos:

• Drupal cuenta con un equipo de personas dedicado y especializado en materia de seguridad, el Security Team. Ellos se encargan de clasificar, ayudar a resolver y publicar los posibles fallos de seguridad notificados entre otras tareas.
• Drupal cuenta con un proceso de notificación y resolución de incidencias de seguridad muy robusto y bien definido.
• Drupal cuenta con una muy buena documentación de cómo debemos configurar nuestros sites para que sean más seguros.
• Cuenta con una muy buena documentación sobre buenas prácticas en materia de seguridad para el desarrollo de módulos.

Todos debemos ser conscientes de la importancia de tener una buena política de actualización en nuestros portales.  Si no realizamos una rápida actualización de los mismos tras la publicación de una incidencia de seguridad, estaremos poniéndolo en riesgo ya que nuestros posibles atacantes pueden explotar estas vulnerabilidades.

Un ejemplo claro sería el famoso Drupalgeddon, que nos aconteció hace unos meses. Se trataba de un fallo de seguridad catalogado como “High Critical” y afectó a millones de sites en todo el mundo. Este fallo de seguridad implicaba que si no habíamos actualizado nuestro Drupal en las siguientes horas desde su publicación, posiblemente ya hubiera sido atacado e infectado.

Si bien no es habitual tener fallos de seguridad de este calibre, pone de manifiesto la importancia de tener un buen proceso de actualización en nuestra organización.

¿Qué aspectos tiene Drupal para que sea uno de los CMS más seguros?

La seguridad en Drupal es un tema muy importante y esto se nota en varios aspectos como tener un equipo específico que se dedica a este fin o disponer de un protocolo bien definido para la notificación, corrección y actualización de posibles bugs de seguridad que se detecten.

Algunos de los aspectos que hacen que Drupal destaque por su seguridad son:

Drupal es Open source

Drupal es software libre, esto significa que su código está abierto y cualquiera puede consultarlo. Esto es un aspecto muy positivo ya que permite una transparencia absoluta y millones usuarios pueden ver si existe algún bug o fallo de seguridad, notificarlo y corregirlo. Esto es mucho más efectivo que en el software privativo donde el código no es accesible y se depende por completo del buen hacer de la empresa que lo distribuye y comercializa.

Drupal tiene un equipo específico dedicado a la seguridad

El security team es un grupo de usuarios que trabaja activamente en varios frentes relativos a la seguridad.Este equipo se encarga , entre otras cosas, de los siguientes puntos:

• Resolver las incidencias de seguridad reportadas por los usuarios.
• Asistir y ayudar a los mantenedores a corregir las incidencias de seguridad detectadas en los módulos que mantienen.
• Mantener la documentación sobre cómo escribir código seguro.
• Mantener la documentación sobre cómo securizar tu site.
• Ayudar al equipo de infraestructuras para mantener drupal.org seguro.

Proceso de aprobación de nuevos módulos

Otro aspecto que hace que Drupal sea uno de los CMS más seguros, es su política de aceptación de nuevos módulos en drupal.org. Cualquier nuevo usuario que quiera publicar un nuevo módulo en Drupal.org debe pasar un proceso de aprobación del módulo donde se comprueba que ciertamente cumple con las buenas prácticas en materia de seguridad y coding standards además de otros puntos. Tras esta auditoria, se le atribuye un rol específico que le permite publicar su módulo en drupal.org como proyecto.Este es un aspecto fundamental ya que se evita que se publiquen módulos con fallos de seguridad por parte de nuevos usuarios.

Eficacia en la notificación de nuevas versiones disponibles

Al igual que es importante detectar y corregir posibles fallos de seguridad, es importante tener varios canales de comunicación donde se notifiquen estos fallos y cómo solucionarlos.
En este aspecto, Drupal comunica a través de varias vías las nuevas actualizaciones disponibles, algunas de las cuales son las siguientes:

Security announcements newsletter en Drupal.org (d.o)

Todos los usuarios que tengan cuenta en Drupal.org (d.o) pueden susbcribirse al newsletter de anuncios de seguridad. Para ello lo único que debemos hacer es marcar el check correspondiente desde las opciones de edición de nuestra cuenta. De esta forma recibiremos un correo a nuestra cuenta cuando se publiquen nuevas actualizaciones de seguridad, tanto de core como de módulos de terceros.

Informe de actualizaciones del site

También podemos estar informados de los nuevos anuncios de seguridad configurando cada uno de nuestros portales para que nos notifique cuando exista una nueva actualización de seguridad. Para ello hacemos lo siguiente:

• Nos situamos al informe de actualizaciones (admin/reports/updates) Administration >> Reports >> Available updates
• Hacemos click en la pestaña superior de settings.
• Revisamos que tengamos la siguiente configuración

Twitter y RSS

Además de las mencionadas anteriormente, podemos estar enterados de las actualizaciones disponibles por Twitter o RSS:

• Twitter: Existe la cuenta @drupalsecurity la cual twittea todas los anuncios relativos a seguridad en Drupal.
• RSS: También existen varios rss donde puedes estar al tanto de actualizaciones de core, contrib o anuncios públicos de seguridad

¿Qué buenas prácticas podemos adoptar para minimizar posibles fallos de seguridad y tener nuestro site actualizado? 

Como hemos explicado drupal es muy seguro por todo lo que hemos visto hasta ahora. Sin embargo, si nuestra organización no tiene asimilada una serie de buenas prácticas puede que todo lo anterior no sirva de nada.
Si tenemos asimilados estos procedimientos, conocimientos y buenas prácticas en nuestra organización, nos beneficiamos de los siguientes aspectos:

• Evitaremos en un % alto generar fallos de seguridad en nuestros desarrollos.
• Lograremos actualizar nuestros sites de una forma rápida y sin generar nuevos fallos.
• Aseguramos un alto nivel de calidad en las entregas de nuevas funcionalidades.

Conclusiones

Como hemos podido ver, tenemos muchas razones para afirmar que la seguridad en drupal no es un tema menor y que existen multitud de mecanismos para seguir cuidando de este aspecto. Al mismo tiempo podemos ver qué si nuestra organización no cuenta con mecanismos claros y eficaces para estar al tanto de las nuevas actualizaciones, reaccionando en consecuencia, pondremos en peligro nuestros portales ante posibles atacantes.
Por último, desde las empresas debemos hacer hincapié en la formación de nuestros desarrolladores, para que conozcan y usen correctamente todos los mecanismos que nos ofrece drupal para mantener nuestros sitios lo más seguros posibles.

Resources

• Security: How the world's largest open source CMS combines open & security: https://www.acquia.com/blog/keeping-drupal-secure
• Securing your site: https://www.drupal.org/security/secure-configuration
• Writing secure code: https://www.drupal.org/writing-secure-code
• Security team: https://www.drupal.org/security-team
• Security advisories: https://www.drupal.org/security
• Desarrollo seguro en Drupal by Ezequiel Vazquez (DrupalCamp Spain 2013)
• Hacking Drupal: Anatomía de una auditoría de seguridad by Ezequiel Vazquez (DrupalCamp Spain 2014)