24 noviembre 2011

Joomla, Wordpress o Drupal, ¿Cual es más seguro?

La pregunta que pone título a esta entrada parece sencilla, pero realmente no lo es tanto. Hace dos años intenté hacer este mismo ejercicio con algunos resultados. Ahora voy a enfocarlo con otros objetivos y por lo tanto, de distinta forma.

Tal vez evaluar la seguridad de un CMS sin sus plugins nos dé una visión de la calidad de este en su estado más puro, pero surgen varias preguntas: ¿Es realista tener uno de estos gestores sin plugins?  ¿No deberían de encargarse los propios productos de proporcionar los mecanismos de seguridad adecuados para que hasta el menos afortunado en conocimientos pueda desarrollar sin poner en riesgo todo un sistema? Con estas premisas, ¿cuál es el más seguro?

La forma más rápida de obtener referencias de las vulnerabilidades publicadas para cada uno de ellos es verificando los CVE y observando cuál de ellos presenta más boletines. Este método sería perfecto salvo por que hay algunas referencias que incluyen más de una nota de seguridad, como por ejemplo el CVE-2011-0700  de Wordpress que son 5 XSS distintos, aun así, en estos casos se catalogan en base a la que tiene la criticidad más alta, por lo que la aproximación puede ser válida.

Wordpress tiene un total de 160 vulnerabilidades, además este año no ha tenido mucha suerte, con 3 vulnerabilidades críticas (CVSS de 9 ó 10)



Drupal acumula 217 referencias CVE y este año presenta tan solo 2 vulnerabilidades medias, con criticidades inferiores a 8.



Joomla sigue siendo el patito feo por su fatídico 2008, actualmente acumula 260 y tiene 14 fallos para el 2011, aunque faltan por añadir 2 fallos con criticidad alta que fueron reportados la semana pasada.



Estos mismos datos, son utilizados para realizar el ranking, que queda de peor a mejor: Joomla, Drupal y Wordpress.


En todos ellos, entre el 2007 y 2008 sufrieron un gran pico, y es que en esto de la seguridad está demostrado que ¡la letra con sangre entra!

9 comments :

Anonymous dijo...

Para evaluar un CMS en lo referente a la seguridad, la medida de ver cuántas y cómo de graves son sus vulnerabilidades, no basta. La mayoría de los problemas vienen derivados de los plugins que incorporan por lo que la robustez de los API para crear estos plugins es una medida más realista.

ayudajoomla dijo...

Interesante comparativa. La compartiré con los lectores de mi blog :) Espero que no se asusten!!!!

Gervet dijo...

Decir que soy más simpatizante de Joomla. Pero teniendo en cuenta que Wordpress triplica y duplica respectivamente en cantidad de uso y descargas a Drupal y Joomla es un logro muy grande que sea el menos vulnerable. Sin dudas este CMS se está llevando todos los méritos aunque no salió ganador del Packt Open Source 2011 en el que salió Joomla. En fin que pienso que los tanto Drupal como Joomla deben ir mirando un poco más al futuro porque las diferencias y carencias de uno u otro cada día son más grandes comparándolos con Wordpress. 

Alejandro Ramos dijo...

La forma de evaluar la robustez de su API, además de ver el código fuente, es saber cuantos de esos plugins con fallos son críticos.

Un saludo.

Ignacio Agulló Sousa dijo...

Muy interesante comparativa.  Sin embargo, más allá de las cifras, mi impresión es que el más inseguro es Wordpress.  Veo noticias de vulnerabilidades de Wordpress con frecuencia, y además fui testigo de una intrusión en el servidor que comparto.  El hecho de ser el más usado probablemente atrae a los intrusos.

malanjuino dijo...

Qué curioso! creía que wordpress saldría mucho peor parado (aunque ya le llega...)
Muy buena comparativa :)

Zerial dijo...

Para poder determinar cual es mas o menos seguro, tambien es necesario analizar las herramientas que cada CMS nos entrega para hacer nuestros desarrollos mas seguros, no todos estos CMS nos entregan las mismas facilidades o herramientas para poder desarrollar de forma segura

Abnehmen dijo...

Me pregunto si habría que tener en cuenta la configuración de los servidores. Sería interesante saber si un determinado CMS sufre más o menos vulnerabilidades debido a la mala configuración de las empresas de alojamiento.

Xavier Potau dijo...

Interesante comparativa, la compartiré en mi blog. Me imaginaba que por ahí iban los tiros pero ayuda mucho verlo plasmado en una gráfica. También habría que evaluar qué plugins y módulos se tienen instalados, porque no toda instalación se queda con el CMS a pelo y fácilmente puede haber un wordpress peor que un joomla si tiene un plugin defectuoso y viceversa claro.