Los ciberataques contra aplicaciones web con el pasar de los años han ido en aumento. Estos incidentes se han visto orientados a las partes del sistema que permiten que una aplicación web funcione, como son los servidores web, los sistemas de gestión de contenido de código abierto (CMS), las bases de datos entre otros. Dentro de ellos los CMS son uno de los más atacados. Drupal es uno de estos CMS y es un sistema muy popular y muy usado en la actualidad, solo superado por Wordpress. Por eso este documento describe las configuraciones de seguridad que permiten mantener una aplicación web de Drupal segura. Drupal tiene un fuerte modelo de seguridad, pero como cualquier aplicación, requiere que se le agreguen configuraciones para un ambiente fuera del entorno de desarrollo. El objetivo que se persigue es propiciar una guía que sin agregar ningún elemento permita asegurar la aplicación. Mediante pruebas y su utilización en variadas aplicaciones web se demostró que con el uso de estas configuraciones se garantizaba una seguridad adecuada y robusta que permitía disminuir los riesgos y amenazas.