Содержание
Да, Drupal считается более безопасным, чем WordPress, но не абсолютно, а при условии грамотной настройки и поддержки. Статистика показывает, что количество уязвимостей в ядре Drupal меньше, а их устранение происходит быстрее благодаря строгой архитектуре и код-ревью . Однако главная причина «небезопасности» WordPress — не ядро, а дикая экосистема: тысячи плагинов и тем сомнительного качества, которые пишутся кем попало . Drupal же имеет более строгую архитектуру, встроенные инструменты безопасности (контроль доступа, экранирование вывода) и требует от разработчиков следования стандартам . Но Drupal сложнее, и ошибки в его настройке (например, открытые права на папки) могут быть так же опасны.
Статистика уязвимостей: что говорят цифры
Разберёмся с мифами. С одной стороны, WordPress атакуют чаще, потому что он популярнее (43% всех сайтов). С другой стороны, ядро WordPress довольно безопасно, но проблема в плагинах .
- Уязвимости ядра: И у Drupal, и у WordPress они случаются, но в Drupal процесс исправления жестче. В 2014 году была критическая уязвимость Drupalgeddon (SQL-инъекция), но её быстро закрыли. WordPress тоже имел критические баги.
- Уязвимости расширений: Вот здесь WordPress проигрывает. Тысячи плагинов, написанных за вечер, не обновляются годами. Drupal Extensions (модули) проходят более строгую проверку перед публикацией в официальном каталоге.
- Скорость закрытия уязвимостей: Drupal Security Team известна быстрым реагированием и часто выпускает исправления до того, как информация становится публичной. У WordPress тоже есть команда безопасности, но из-за легаси-кода некоторые баги исправляются дольше.
Пример сравнения по данным CVE (Common Vulnerabilities and Exposures) за последние годы (цифры усреднённые):
| CMS | Уязвимости ядра (критичные) | Уязвимости расширений (типичные) |
|---|---|---|
| WordPress | ~1-2 в год (некритичные в основном) | Тысячи в сумме за год (из-за плагинов) |
| Drupal | Редко (но бывают, например, Drupalgeddon) | Значительно меньше, качество выше |
Архитектурные особенности, влияющие на безопасность
Почему же Drupal считается безопаснее на архитектурном уровне?
- Фильтрация и экранирование вывода: Drupal использует Twig-шаблоны, которые по умолчанию экранируют всё, что выводится на страницу, предотвращая XSS-атаки. В WordPress экранирование лежит на совести разработчика темы (не все справляются).
- Система прав доступа (ACL): В Drupal вы можете задать очень детальные права: кто может видеть какой блок, редактировать какие поля, выполнять какие действия. Это снижает риск несанкционированного доступа. В WordPress права примитивны (роли: admin, editor, author).
- Обработка SQL-запросов: Drupal использует Database Abstraction Layer, которая автоматически защищает от SQL-инъекций, если вы не пишете raw SQL вручную. WordPress также имеет $wpdb->prepare(), но многие плагины его игнорируют.
- Контроль ввода: Drupal использует Typed Data API и валидацию полей, что снижает риск инъекций. В WordPress всё построено на массивах $_POST, и валидацию приходится писать руками.
- Обновления и бэкапы: Drupal имеет встроенный механизм обновления (через Composer), который проверяет целостность кода. В WordPress обновление плагинов часто ведёт к сбоям.
Но не забывайте: Drupal сложнее, и ошибки настройки (например, открытые права на папку /sites/default/files) могут привести к взлому. Поэтому утверждение «Drupal безопаснее» верно для профессиональной установки и поддержки.
Человеческий фактор: кто администрирует
WordPress часто выбирают новички, которые не обновляют плагины, ставят пароль «admin», используют nulled темы (взломанные). Drupal обычно выбирают более опытные разработчики и системные администраторы, которые понимают важность обновлений и правил безопасности. Поэтому статистика взломов может быть смещена: на Drupal просто меньше «кривых рук».
Если вы посадите опытного администратора на WordPress, сайт будет достаточно безопасен. Если неопытного — на Drupal он наделает дыр сам.
Практические рекомендации: как обезопасить любую CMS
Независимо от того, выбираете вы Drupal, WordPress или Joomla, выполните эти действия.
- Регулярно обновляйте ядро, модули/плагины, темы (лучше автоматически).
- Используйте сложный пароль для администратора и двухфакторную аутентификацию (2FA).
- Не используйте стандартные префиксы таблиц (wp_ для WordPress, jos_ для Joomla, drupal_ для Drupal).
- Установите модули безопасности: для Drupal это Security Kit, для WordPress — Wordfence или Sucuri, для Joomla — Admin Tools.
- Регулярно делайте бэкапы (Akeeba Backup для Joomla/Drupal, UpdraftPlus для WordPress).
- Ограничьте попытки входа в админку (плагины Login Lockdown).
- Удалите ненужные расширения и темы.
- Используйте SSL (HTTPS) всегда.
- Настройте права доступа к файлам на сервере (755 для папок, 644 для файлов).
Сравнение с Joomla
Joomla по безопасности находится между WordPress и Drupal. У неё более строгая архитектура, чем у WordPress, и меньше плагинов низкого качества. Но Joomla менее популярна, поэтому атак на неё меньше. Ядро Joomla обновляется регулярно, и сообщество безопасности активно. Если сравнивать с Drupal, Joomla проще, но и уязвимостей в расширениях может быть больше.
Конструкторы (SitePro.by, Tilda) не требуют заботы о безопасности — это на плечах платформы. Но и контроля у вас меньше.
Резюме от эксперта
Drupal безопаснее WordPress, но эта разница заметна только при профессиональном администрировании. Для обычного малого бизнеса, который обновляет сайт раз в полгода, разница может быть нивелирована. Если у вас сложный портал с чувствительными данными (банк, госорганы, медицинские данные) — выбирайте Drupal и нанимайте квалифицированного администратора. Если вам нужен обычный сайт-визитка или блог — не заморачивайтесь, WordPress с парой плагинов безопасности и регулярными обновлениями будет достаточно безопасен. Главное правило: безопасность зависит не от CMS, а от того, кто её настраивает и обслуживает.
