La gente de «Security By Default» ha publicado recientemente un artículo donde analizan la seguridad de cuatro de los CMSs más populares del momento: Drupal, WordPress, Joomla!, y Movable Type.
El artículo está plagado de gráficas y resultados de varios análisis, por eso recomiendo la lectura del mismo para ampliar información, pero finalmente estas son las conclusiones a las que se llegan en dicho artículo:
1. Movable Type es sin duda el gestor con el menor número de vulnerabilidades y menos críticas, si bien es cierto que su uso es extendido no existen tantos módulos como para sus competidores y esto le está ahorrando sustos.
2. Joomla! es un gestor potente sin apenas vulnerabilidades, pero ampliamente modulable y con problemas muy importantes en esta parte. El mantenimiento de este producto requerirá mucho esfuerzo y estar suscritos no solo a las alertas de seguridad del propio fabricante, si no la de todos los módulos que se usen.
3. WordPress tras el paso del 2007 ha mejorado su seguridad de forma muy significativa, aunque en el 2008 se reportó una vulnerabilidad alta en este año 2009 es el único del que no se ha reportado ninguna vulnerabilidad.
4. Drupal no presenta ninguna vulnerabilidad crítica o alta desde el 2007, consolidándose como un producto seguro. Es modulable y existen muchos paquetes disponibles y al igual que en Joomla, peligrosos, por lo que se ha de tener especial atención en su mantenimiento.