Den første kontoen (uid1) har tillatelse til å gjøre alt på et Drupalnettsted. Det er også den eneste konto som kan utføre oppdateringsskriptet update.php. På grunn av disse tillatelsene, mener en del Drupalbrukere at uid1-kontoen er ikke passende til hverdagsbruk.

• På et nettsted hvor administratoren bruker konto #1 for personlig innhold i blogger, forum osv., og senere er administreringen til nettstedet gitt til en annen, er personlige innhold fortsatt i konto #1 og må flyttes til en vanlig brukerkonto.
• Hvis du bruker denne kontoen på en usikker datamaskin eller på et usikkert nettverk, kan en ondsinnet bruker stjele din påloggingen og kan få full tilgang til ditt nettsted. Hvis du bruker en annen konto som har «Administrere brukere»-tillatelse finnes også dette problemet uansett uid-en til brukeren. Derfor rådet her er å logge deg inn når du føler deg trygt på ditt nettverk eller bruke https. Hvis du vil ikke kjøpe et sertifikat, kan du logge deg inn via https til din Openid-tjener når du bruker din Drupalkonto.
• Det finnes en mulighet at en modul bruker XSRF eller «GET» URL. Hvis du er pålogget som en bruker med tillatelse til å ta denne handlingen, og en ondsinnet bruker sender en e-post eller lynmelding (IM) som utnytter sikkerhetshullet på ditt nettsted, er ditt nettsted kompromittert.
• Noen nettutviklere bruker uid1-kontoen for å bygge opp et nettsted og avlererer kontoen til en uerfaren bruker når nettstedet er lansert. En uerfaren bruker bør istedenfor få en ny konto som er en del av en brukerolle med tillatelser som er passende til brukerens ekspertisenivå.