Um dos métodos mais populares de publicação de conteúdo em site são os CMSs (Content Management Systems, ou Sistemas de Gerenciamento de Conteúdo). Um CMS geralmente possui uma interface gráfica para o usuário, na qual é possível efetuar login, criar ou fazer upload de conteúdo, atualizar o material existente, projetar como eles gostariam que o site fosse exibido e outras tarefas relacionadas. As três escolhas mais populares de CMS são o WordPress, o Joomla e o Drupal. Uma rápida espiada nessas três peças diferentes de software mostra que elas são de alguma forma semelhantes – uma estrutura de PHP interagindo com um banco de dados. No entanto, as aparências enganam. Cada um deles tem sua própria experiência de usuário, gerenciamento de complementos e processo de trabalho. WordPress, Joomla! e Drupal: Uma Comparação de Segurança de CMSs
Eles são muito diferentes entre si e, assim, seus benefícios e desvantagens são discutidos incessantemente por toda a comunidade online. Em vez de comparar todos os atributos que essas opções de CMS têm a oferecer, queríamos fornecer um guia que permita ao leitor revisar informações e chegar a sua própria conclusão. Por uma questão de simplicidade e clareza, focaremos na instalação base e em plugins e temas comuns.
WordPress
Lançado em 2003, o WordPress é o CMS mais usado, com uma participação de mercado de 60,2%, incluindo 239.139 dos 1 milhão de sites trafegados. Como software gratuito e de código aberto, o WordPress faz uso pesado de uma arquitetura de plugin e sistema de templates. Plugins e temas são usados para aprimorar a funcionalidade e melhorar a aparência para o usuário final.
Embora alimentado principalmente por colaboradores não remunerados, o WordPress possui uma equipe de liderança paga, comprometida com os esforços de desenvolvimento e implementação de software. Além da equipe de liderança, o WordPress possui uma equipe de segurança dedicada especificamente à investigação, identificação e correção de problemas de segurança do WordPress que surgem no código principal. À medida em que as vulnerabilidades de segurança são divulgadas, as correções são enviadas para as instalações existentes do WordPress. É por isso que manter o WordPress atualizado para a versão mais recente é incrivelmente importante para a segurança geral do seu site.
O site de recursos do WordPress, wpbeginnner.com, oferece uma grande quantidades de orientações, explicações e artigos sobre a importância da segurança do WordPress, como a atualização dos arquivos principais de instalação, senhas e funções/permissões de usuário, bem como a opinião deles sobre as melhores práticas de segurança para os usuários intermediários e iniciantes. O Codex do WordPress também contém uma lista muito extensa e detalhada de itens para fortalecer sua instalação do WP. O WordPress, no entanto, não parece publicar uma lista de CVE (Vulnerabilidades e Exposições Comuns), como fazem outros fornecedores de CMS. No blog do WordPress, no entanto, são divulgadas de forma superficial quem colaborou e que tipo de bug foi corrigido com as atualizações.
Joomla!
O Joomla é outro CMS gratuito e de código aberto bastante popular entre os desenvolvedores da web. Com uma participação de mercado de 5,3%, o Joomla também é usado por 13.480 dos 1 milhão de sites trafegados na Internet. Iniciado em 2005 como um fork do Mambo, o Joomla usa técnicas de programação orientada a objetos e padrões de design de software, inclui recursos como cache de páginas, feeds RSS, versões para impressão de páginas, flashes de notícias, blogs, pesquisa e suporte para internacionalização de idiomas.
Onde o Joomla mais difere do WordPress e do Drupal é em como de código aberto ele é. O Joomla está organizado em diferentes departamentos que compõem seu conselho de administração, governado pela Open Source Matters, Inc. O conselho do Joomla é formado inteiramente por voluntários não-remunerados. Ninguém é pago pelo Open Source Matters para gerenciar o Joomla.
A documentação oficial do Joomla sobre a proteção do seu site é um ótimo começo para novos usuários do CMS que desejam garantir que a instalação do Joomla seja o mais segura possível.
Drupal
O Drupal foi lançado pela primeira vez em maio de 2000 por seu autor original, Dries Buytaert. Um CMS de código aberto e gratuito, com uma participação de mercado de 3,5%, o Drupal compõe 23.330 dos 1 milhão de sites trafegados. A versão padrão do Drupal, conhecida como Drupal Core, contém os recursos básicos de um CMS, incluindo registro e manutenção de contas, gerenciamento de menus, feed RSS, taxonomia, personalização do layout da página e administração de sistemas. Como o WordPress, o Drupal também possui uma equipe de segurança que resolve problemas relatados, auxilia os usuários a resolverem seus problemas de segurança, fornece documentação e ajuda a equipe de infraestrutura. Como o Joomla, o Drupal também é construído e mantido pela comunidade de código aberto. A documentação oficial do Drupal para proteger a instalação contém dicas e exemplos de como proteger sua instalação.
O Drupal também teve sua parte considerável de problemas de segurança. No entanto, sua equipe de segurança publica uma lista detalhada de CVEs desde 2005, que também inclui as melhores práticas recomendadas.
Então, qual CMS é o mais seguro?
Infelizmente, não há uma resposta rápida e simples para essa pergunta e, como usuário final, suas necessidades podem variar de acordo com o projeto em que você está trabalhando. O que você pode fazer é armar-se com as informações necessárias para tomar sua decisão e entender as diferenças entre WordPress, Joomla e Drupal.
Com uma excelente comparação das três principais opções de CMS e uma rápida visão geral das diferenças de segurança entre elas, o site websitesetup.org explica que os problemas atuais de segurança com o WordPress não são causados por comprometimentos no software principal, mas geralmente relacionados a plugins de terceiros. O Drupal, na maior parte seguro após a sua instalação de fábrica, já teve sua cota de problemas, como a vulnerabilidade de injeção SQL em 2014. No que diz respeito ao Joomla, a segurança da instalação é de responsabilidade do usuário. O Joomla, apesar de rápido em responder às vulnerabilidades com os patches aplicáveis, carece de atualizações automáticas. Isso significa que seus usuários devem trabalhar ativamente para manter se manter consciente dos problemas e aplicar as devidas atualizações.
Análises de Vulnerabilidades de CMSs
O site cmscritic.org também possui uma análise detalhada, oferecendo sua opinião sobre os prós e contras de cada uma das três grandes opções de CMS. O WordPress ganha novamente pontos por ter o software principal considerado mais seguro, enquanto os problemas costumam ser os aplicativos de terceiros. O Joomla é classificado da mesma maneira, com elogios por seus arquivos principais serem seguros. No entanto, a força voluntária do Joomla tem sido historicamente menor que a do WordPress e do Drupal, e a segurança do site ou sites de um indivíduo é de responsabilidade do usuário final. No que diz respeito ao Drupal, o perfil deles deixa um pouco a desejar, apenas mencionando que o software principal do Drupal é seguro.
Além disso, thehackernews.com documentou as explorações mais recentes do Drupal em detalhes, o que as comparações anteriores não fizeram.
Em resumo
O mais importante a ser lembrado ao selecionar o CMS certo para o seu conteúdo é considerar quais recursos são mais benéficos para você. Cada uma das três principais opções do CMS possui benefícios e preocupações, e as vulnerabilidades de segurança em cada uma delas podem ser combatidas sendo um usuário proativo; verifique se há atualizações de segurança e verifique se todo o software está atualizado.
Traduzido e adaptado de cPanel Blog. WordPress/Joomla!/Drupal – a Security Comparison. HODGES, Phil. Disponível em: <https://blog.cpanel.com/wordpress-joomla-drupal-a-security-comparison/?fbclid=IwAR2EP1UV5-Q2LY9twknj2hWgpxan1N1rqBYv3CNOKqwEEBDSMq8YgjutKHU>. Acesso em: 27 out. 2019.
Além do CMS, verifique outros fatores que devem ser considerados para iniciar seu site!