Drupal bajo ataque: checklist rápido para tu CMS

La alerta

CISA agregó CVE-2026-9082, una vulnerabilidad de Drupal Core, a su catálogo de fallas explotadas activamente. En criollo: no era una alerta teórica; ya había señales de abuso real.

Drupal la clasificó como “Highly critical”. La falla afecta sitios Drupal que usan PostgreSQL en ciertas versiones y permite SQL injection mediante solicitudes especialmente construidas.

Aunque tu negocio no use Drupal, la lección aplica a cualquier CMS: WordPress, Joomla, tiendas online o portales hechos a la medida. El problema no es el logo del CMS; es operar software público sin dueño claro, sin parches y sin backups probados.

Por qué esto importa

Una web comprometida no siempre se ve como una película de hackers. A veces se ve así:

• el sitio carga lento;
• aparecen usuarios admin que nadie creó;
• hay formularios enviando spam;
• Google marca el dominio como peligroso;
• campañas de anuncios empiezan a fallar;
• clientes escriben por WhatsApp diciendo “tu página se ve rara”.

Para negocios en RD y el Caribe, eso pega directo en ventas, reservas, reputación y confianza.

Qué debe hacer una pyme hoy

• Confirma qué CMS corre tu web y quién lo mantiene. Si nadie sabe, esa es la primera señal de peligro.
• Revisa la versión exacta de Drupal, WordPress, Joomla o la plataforma que uses.
• Si usas Drupal con PostgreSQL, prioriza el parche de seguridad correspondiente.
• Haz backup antes de actualizar: archivos, base de datos y configuración.
• Actualiza módulos, temas y dependencias.
• Elimina plugins abandonados o que nadie pueda justificar.
• Limita permisos de usuarios administradores.
• Revisa logs por actividad rara: intentos de login, errores SQL, cambios de usuarios, archivos nuevos y picos de tráfico.
• Activa monitoreo básico de uptime y alertas.

Backup sin prueba de restauración es decoración cara. Bonita, pero inútil cuando el sitio está en el piso.

Si tu web la maneja un proveedor

Pídele tres cosas simples, por escrito:

1. Versión actual del CMS y fecha del último parche de seguridad.
2. Confirmación de backup reciente y restaurable.
3. Plan de acción si aparece una vulnerabilidad crítica explotada activamente.

No necesitas un informe de 40 páginas. Necesitas saber si tu web está parchada, respaldada y monitoreada.

Mini checklist técnico

Si tienes acceso al servidor o al panel:

# WordPress: ver versión desde WP-CLI si está disponible
wp core version

# Buscar archivos modificados recientemente
find public_html -type f -mtime -7

# Revisar cron jobs del usuario
crontab -l

Ajusta los comandos según el servidor y permisos. Si no sabes qué estás tocando, mejor pide ayuda antes de convertir un parche en un deporte extremo.

La idea clave

Mantener el CMS al día es una tarea pequeña comparada con limpiar un incidente después. Los atacantes automatizan búsquedas de sitios vulnerables; tu defensa mínima también debe estar automatizada o al menos calendarizada.

Parchar, respaldar y monitorear no suena sexy. Pero mantiene el negocio vendiendo mientras otros están explicando “parece que nos hackearon”.

Fuentes

• CISA: Adds One Known Exploited Vulnerability to Catalog
• Drupal: SA-CORE-2026-004