Seguridad

Una amenaza crítica se cierne sobre las webs construidas en Drupal

Un fallo de seguridad podría permitir a un atacante que visite cualquier página web con Drupal ejecutar código a su elección en la misma y tomar el control del sitio. Os explicamos cómo resolver esta vulnerabilidad.

Aunque ha languidecido ante el empuje de otros gestores de contenidos -como WordPress o Joomla-, todavía hay cientos de páginas web basadas en Drupal. Se trata de un CMS muy sencillo de utilizar y con bastantes posibilidades de personalización. Pero, al igual que sus competidores, también es objetivo prioritario de los ciberatacantes.

Es lo que ha ocurrido ahora, en tanto que el INCIBE alerta de una vulnerabilidad crítica de seguridad. Según la información del organismo leonés, este fallo podría permitir a un atacante que visite la página web con Drupal ejecutar código a su elección en la misma y tomar el control del sitio web así como acceder al servidor en el que esté alojado.

Las versiones de Drupal afectadas por este agujero de seguridad son las 7.x, 8.3.x, 8.4.x y 8.5.x, además de algunas versiones de Drupal 6. Para las primeras existe un parche para el problema incluido en la última actualización de este gestor de contenidos:

  • Si se utiliza Drupal 8.3.x, actualizar a la versión 8.3.9 (son versiones ya no compatibles)
  • Si se utiliza Drupal 8.4.x, actualizar a la versión 8.4.6 (son versiones ya no compatibles)
  • Si se utiliza Drupal 8.5.x, actualizar a la versión 8.5.1
  • Si se utiliza Drupal 7.x, actualizar a la versión 7.58
  • Si se utiliza Drupal 6.x, se debe contactar con un ‘mantenedor’ de Drupal 6 LTS.

Desde el INCIBE recuerda, en cualquier caso, que antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. También hemos de comprobar que se ha realizado la copia de seguridad correctamente y que podemos recuperarla.

Para actualizar Drupal, será necesario sobrescribir los archivos incluidos en el paquete de actualización. Una vez instalado, habrá que configurar aspectos básicos de Drupal hasta que nos indique que la actualización ha finalizado. Esta labor debe ser realizada por el personal técnico.

De todos modos, hemos de recordar que cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Business Insider, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo, ganador del Premio Día de Internet 2018 a mejor marca personal en RRSS y finalista en los European Digital Mindset Awards 2016, 2017 y 2018.