La pregunta que pone título a esta entrada parece sencilla, pero realmente no lo es tanto.

Si evaluamos la seguridad de un CMS sin sus plugins, posiblemente nos dé una visión de la calidad de este en su estado más puro, pero surgen varias preguntas: ¿Es realista tener uno de estos gestores sin plugins?  ¿No deberían de encargarse los propios productos de proporcionar los mecanismos de seguridad adecuados para que hasta el menos afortunado en conocimientos pueda desarrollar sin poner en riesgo todo un sistema? Con estas premisas, ¿cuál es el más seguro?

La forma más rápida de obtener referencias de las vulnerabilidades publicadas para cada uno de ellos es verificando los CVE y observando cuál de ellos presenta más boletines. Este método sería perfecto salvo por que hay algunas referencias que incluyen más de una nota de seguridad, como por ejemplo el CVE-2011-0700  de WordPress que son 5 XSS distintos, aun así, en estos casos se catalogan en base a la que tiene la criticidad más alta, por lo que la aproximación puede ser válida.

WordPress tiene un total de 160 vulnerabilidades, además este año no ha tenido mucha suerte, con 3 vulnerabilidades críticas (CVSS de 9 ó 10)

Drupal acumula 217 referencias CVE y este año presenta tan solo 2 vulnerabilidades medias, con criticidades inferiores a 8.

Joomla sigue siendo el patito feo por su fatídico 2008, actualmente acumula 260 y tiene 14 fallos para el 2011, aunque faltan por añadir 2 fallos con criticidad alta que fueron reportados la semana pasada.

Estos mismos datos, son utilizados para realizar el ranking, que queda de peor a mejor: Joomla, Drupal y WordPress.

En todos ellos, entre el 2007 y 2008 sufrieron un gran pico, y es que en esto de la seguridad está demostrado que ¡la letra con sangre entra!

Fuente: netsys-consulting