O Drupal é seguro?

Não é segredo nenhum que somos grandes apoiantes do Drupal, a framework modular de desenvolvimento com sistema de gestão de conteúdo integrado. No entanto, temos reparado que existem várias dúvidas sobre a estabilidade e segurança do Drupal, tendo em conta que é um sistema open-source, o que deixa algumas pessoas apreensivas.

Como tal, decidimos que era altura de pôr um fim às suas dúvidas e esclarecer, de uma vez por todas, a segurança (ou falta dela) da framework Drupal. No fim deste artigo, já deverá saber tudo o que precisa de saber sobre esta questão – e, se ainda lhe restarem dúvidas, pode sempre entrar em contacto connosco para mais esclarecimentos.

Software open-source é seguro?

Software open-source é software cujo código-fonte – o código original escrito pelos programadores que será depois compilado para ser legível por computadores, tornando-se assim software – está disponível publicamente.

A grande diferença do software open-source é que qualquer pessoa pode contribuir para o seu desenvolvimento, ao contrário de software closed-source, em que é a equipa original de programadores que trata de todo o desenvolvimento para o software. Portanto, software open-source é mais interativo, estando constantemente sob desenvolvimento por vários utilizadores.

Tendo isso em conta, é compreensível ter algumas suspeitas deste tipo de software: se qualquer pessoa pode modificar o código, isto não significa que há maiores riscos?

A verdade é que software open-source é tão seguro – por vezes até mais – do que os outros tipos de software. Existem vários motivos para isto, mas um dos principais será o facto de a comunidade que é criada à volta da criação deste software estar ativamente à procura das vulnerabilidades no seu código e a corrigi-las. Isto significa que, enquanto um software “fechado” tem, por vezes, vulnerabilidades não corrigidas que a equipa responsável, por lapso ou falta de tempo, não corrige, o software open-source está constantemente a ser visto, revisto e analisado por diversas pessoas. Mais importante ainda, como as vulnerabilidades estão expostas, são mais facilmente detetadas pela comunidade e rapidamente corrigidas.

Por outro lado, acreditar que um sistema fechado é inerentemente mais seguro só porque o código não é visível é um erro comum, conhecido como “security through obscurity” (segurança pela obscuridade) – é o mesmo que assumir que ter o dinheiro escondido debaixo do colchão, onde ninguém sabe onde está, significa que está mais protegido do que num banco, onde, apesar de toda a gente saber onde está, existem diversas medidas de segurança para que ninguém sem autorização lhe possa aceder. O que traz realmente a segurança a qualquer sistema são as proteções do mesmo, pelo que o código-fonte estar disponível publicamente não o torna por si só mais desprotegido.

Quais são as medidas de segurança do Drupal?

Já estabelecemos que o software open-source é seguro, mas e o Drupal, especificamente? Visto que percebemos que são as medidas de segurança que fazem realmente a diferença, quais são as que o Drupal põe em prática?

De forma a assegurar a segurança das plataformas, o Drupal conta com uma equipa de segurança que trabalha constantemente com a comunidade para detetar e corrigir quaisquer vulnerabilidades na framework, para além de providenciar documentação extensiva sobre como criar um website Drupal seguro. Por norma, esta equipa concentra-se em dar suporte à versão mais recente do Drupal e à versão anterior – atualmente, a versão 8.x e 7.x, respetivamente –, lançando e anunciando novas atualizações de segurança praticamente todos os meses.

Para além de vulnerabilidades na própria infraestrutura, esta equipa concentra-se também em detetar e ajudar a corrigir falhas de segurança nos diversos módulos e projetos. Todo este trabalho contínuo tem por resultado o Drupal cumprir os requisitos da Open Web Application Security Project (OWASP), uma organização sem fins lucrativos focada em melhorar a segurança de software e que criou um guia dos 10 principais riscos de segurança para ajudar e orientar o desenvolvimento de software de segurança online.

Com isto, o Drupal tem em ação diversas medidas para assegurar que não só a própria framework como também todos os projetos estão sempre devidamente protegidos contra ataques – de facto, 90% das falhas de segurança detetadas em sites Drupal devem-se a temas ou módulos desenvolvidos pelas equipas menos experientes para os seus próprios sites, razão pela qual deve apenas apostar numa equipa perita em Drupal para desenvolver e atualizar a sua plataforma.

É também importante referir que estas atualizações de segurança não são automáticas, isto é, devem ser instaladas manualmente e, por vezes, criam conflitos com alguns módulos desatualizados. Este é outro motivo pelo qual precisa de uma equipa experiente e completamente dedicada ao seu projeto para assegurar que está sempre seguro, devidamente atualizado e a funcionar a 100%.

Para além desta proteção contínua, a própria framework está estruturada a pensar na segurança dos utilizadores, oferecendo diversas funcionalidades como encriptação avançada das palavras-passe (a qual ainda pode ser melhorada com módulos desenvolvidos a pensar na proteção da autenticação), controlos de acesso aperfeiçoados, diversas opções de encriptação da base de dados que permitem cumprir os requisitos de PCI, HIPPA e outros requisitos de privacidade, e funcionalidade instalada de raiz para reportar falhas de segurança.

Conclusão

A resposta definitiva ao título deste artigo é: sim, o Drupal é seguro, desde que tenha uma equipa que assegure que o sistema está sempre atualizado com as novas implementações de segurança da equipa do Drupal, e cujo próprio código personalizado seja profissional ao ponto de não criar novas falhas de segurança.

Se ainda não ficou convencido da segurança do Drupal, apresentamos-lhe um último facto que lhe pode mudar as ideias: até a Casa Branca optou pelo Drupal em 2009, exatamente por ser mais seguro, e muitas outras grandes entidades confiam no Drupal – só para nomear alguns, a UNESCO, a Cruz Vermelha Americana, a NBC, as Universidades de Harvard e Oxford, o Twitter e a NBA, entre muitos outros. Se foi seguro o suficiente para Barack Obama, porque é que não seria para si?