Drupal como MCP Context Server: qué módulo usar hoy

Drupal MCP context server es como el ecosistema llama al módulo que expone Drupal ante agentes de IA vía MCP (Model Context Protocol), el estándar abierto que permite a un agente descubrir y usar herramientas externas de forma estructurada. En Drupal, el módulo que lo implementa está cambiando: drupal.org confirma que el módulo MCP original se está fusionando con MCP Server, y recomienda este último para cualquier implementación nueva.
Esto no es una nota al pie técnica: cambia qué módulo debería instalar hoy cualquier agencia que prometa "Drupal como servidor MCP" a un cliente.
Drupal MCP context server: la arquitectura real, verificada hoy
MCP Server es la implementación de referencia hacia la que converge el ecosistema. Se construye sobre Tool API (para el descubrimiento y ejecución de plugins) e integra el SDK oficial de PHP para MCP —una colaboración entre la PHP Foundation y el proyecto Symfony—, con inspiración arquitectónica en el Symfony MCP Bundle. Soporta tanto transporte STDIO como HTTP, expone una interfaz de administración completa en /admin/config/services/mcp-server/tools, y acaba de anunciar MCP Studio: un entorno sin código para crear herramientas MCP sin escribir una sola línea de PHP.
La autenticación es el punto donde este módulo se diferencia de implementaciones más simples: usa Simple OAuth 2.1 con dos modos por herramienta —Required (token Bearer obligatorio, con scopes específicos, HTTP 401/403 según corresponda) o Disabled (solo para herramientas públicas de solo lectura). El propio autor de MCP Server mantiene también Simple OAuth y Simple OAuth 2.1, lo que explica la integración profunda entre ambos.
Para conectar Drupal a Claude Desktop, la configuración es directa vía Drush:
{ "mcpServers": { "drupal": { "command": "vendor/bin/drush", "args": ["mcp:server"], "cwd": "/path/to/your/drupal/site" } } }Tres módulos, tres roles — no son intercambiables
Conviene ser preciso aquí porque el ecosistema tiene piezas con nombres parecidos y funciones distintas:
- MCP Server: expone Drupal como servidor MCP para que agentes externos lo consulten. Es la pieza que responde a "quiero que Claude o Cursor hablen con mi Drupal".
- MCP Client: la dirección inversa. Permite que Drupal consuma servidores MCP externos, exponiendo sus herramientas dentro del propio módulo AI de Drupal. Usa el módulo Key para el almacenamiento seguro de credenciales y API keys.
- MCP Tools: un proyecto paralelo, no oficial pero con tracción real —120 sitios reportados, 222 herramientas repartidas en 35 submódulos opcionales (creación de tipos de contenido, roles, permisos, vistas, caché, auditorías de seguridad), con control de acceso por alcance (lectura/escritura/admin), rate limiting y logging de auditoría. No sustituye a MCP Server; cubre un caso de uso más orientado a site building conversacional ("crea un blog con artículos, categorías, tags y un rol de editor") que a exposición de contenido de producción.
La advertencia operativa que ningún artículo estaba mencionando
Un issue abierto en drupal.org el 7 de junio de 2026 (#3593467) es clave para cualquier despliegue enterprise: tanto el módulo MCP Server como el SDK oficial de PHP están en desarrollo activo sin releases fijados, lo que significa que cualquier composer update puede arrastrar cambios no versionados y romper la integración — de hecho, la ruta cambió recientemente de /_mcp a /mcp sin aviso previo en un changelog formal. La recomendación técnica explícita del propio issue es fijar (pin) las versiones de mcp_server y del SDK en composer.json en lugar de seguir la rama de desarrollo.
Esto conecta directamente con una tendencia de seguridad más amplia: proveedores como CyCognito ya están catalogando servidores MCP expuestos externamente como parte del inventario de superficie de ataque de una organización.
Un MCP Server de Drupal mal configurado —sin autenticación obligatoria, en modo Disabled donde no correspondía— es exactamente el tipo de activo que ese descubrimiento automatizado va a encontrar primero.
Preguntas frecuentes
¿El módulo MCP original ya desapareció?
No, pero está en transición: drupal.org confirma que se está fusionando con MCP Server y que ese namespace se reutilizará como recetario y "jardín digital" de proyectos MCP. Para nuevas implementaciones, usar MCP Server directamente.
¿MCP Server y MCP Tools son competidores?
No exactamente: cubren casos de uso distintos. MCP Server expone contenido y lógica de negocio de forma controlada vía OAuth 2.1; MCP Tools está pensado para site building conversacional con 222 herramientas y controles de alcance propios.
¿Es seguro usar esto en producción hoy?
Con autenticación OAuth 2.1 obligatoria y versiones fijadas explícitamente en composer.json, sí. Sin fijar versiones, no — el SDK y el módulo cambian sin releases formales.
¿Cómo se conecta esto a Claude Desktop o Cursor?
Vía Drush: el comando
vendor/bin/drush mcp:serverexpone el sitio como servidor MCP configurable directamente en el archivo de configuración del cliente.¿Qué papel juega el módulo Key aquí?
Es el que usa MCP Client para el almacenamiento seguro de API keys y variables sensibles cuando Drupal se conecta a servidores MCP externos.
¿Quieres exponer tu Drupal como servidor MCP sin arriesgar tu superficie de ataque? Conversemos →