Pokud jde o bezpečnost, má Drupal velmi dobrou pověst vzhledem k organizovanému procesu vyšetřování, ověřování a publikování možných bezpečnostních problémů.

Bezpečnostní tým Drupalu neustále pracuje s komunitou při řešení bezpečnostních problémů, které se objevují. Každý webmaster drupalových stránek by se měl přihlásit do bezpečnostní konference (v editaci účtu na drupal.org), aby mohl sledovat aktuální stav bezpečnostních rizik a upozornění.

Je open-source software bezpečnější?

Stručná odpověď je, že open-sourcový software je obecně bezpečnější než komerční software. To byl jeden z důvodů, proč si Bílý dům zvolil právě Drupal.

Jaké jsou časté chyby, které způsobují zvýšení bezpečnostních rizik?

Drupal jako API je ve výchozí konfiguraci navržen tak, aby byl bezpečný. Problémy mohou nastat při neopatrném používání rozšiřujících modulů, které mají na starosti komunikaci s dalšími weby a předávají tak citlivé informace.

Proč má Drupal tolik bezpečnostních rad?

Absolutní počet bezpečnostních rad (včetně příspěvků), je naprosto nesmyslné číslo a nikdy by nemělo být použito pro srovnání. Na drupal.org je více než 7000 projektů, které jsou prozkoumávány svými uživateli, kteří hledají případné problémy a bezpečnostní rizika. Tyto rizika mohou být více či méně bezpředmětné, ale jsou základem celého bezpečnostního programu a prevence.

Bezpečnostní poradenství také označuje zjištění potenciálního problému a také to, že je problém již vyřešen. Nejdůležitější ochrana však je udržet jádro Drupalu vždy aktuální.

Jaká jsou největší rizika?

Profesionální bezpečností audit zjistil, že ve více než 90% případů jsou bezpečností díry přítomné v custom kódu, kteří si web-developeři napsali sami pro své vlastní využití a nevydali tak svoji práci jako modul na Drupal.org ke schválení a tím pádem k prošetření možných bezpečnostních rizik.

Bylo také zjištěno, že další chybou může být nesprávné užívání nezabezpečeného protokolu ftp.