Safe
Rob Pongsajapan
Blog

Ja, Joomla! is veilig!

Ja, Joomla! is veilig! Dat zeggen we niet zomaar. Miljoenen websites, grote bedrijven en organisaties maken gebruik van Joomla. Dat is natuurlijk niet zonder reden en dat zou niet zo zijn als het werkelijk onveilig was.


Open source

Dat Joomla “open source” is, betekent in ieder geval niet dat iedereen overal bij kan, integendeel! Het is nog steeds zoals bij een kluis, je kunt niet zomaar inzien wat er in zit. Je moet nog wel de juiste sleutel hebben. En Joomla is zeker geen eenvoudige kluis om te kraken! Tenzij je die op straat zet met de sleutel en code op een post-it erbij.

Hackers zitten niet stil

Veilig houden gaat dus niet vanzelf. De webhosting (zie verderop) en de mensen die er mee werken spelen een belangrijke rol. Hackers zitten niet stil en de online ontwikkelingen gaan snel. Dan worden er soms kwetsbaarheden ontdekt, net zoals in zoveel bekende software. De kracht van de grote wereldwijde Joomla community is dat deze kwetsbaarheden zeer snel worden verholpen maar dan moet je de site wel onderhouden.

Onderhoud

Zodra veiligheidsupdates worden uitgebracht moeten deze zo snel mogelijk geïnstalleerd worden. Dat is niet moeilijk of zou het niet moeten zijn. Als je niet update kunnen hackers gewoon het lijstje van bekende kwetsbaarheden af gaan en daarmee eenvoudig inbreken als de site niet up to date is.

Webhosting

Een Joomla website wordt neergezet op een server die aangesloten is op het internet. Er zijn duizenden partijen die deze “webhosting” diensten aanbieden. De kosten en kwaliteit van deze diensten variëren nogal. Er moet wel aandacht zijn voor veilige serverinstellingen anders is ieder systeem op deze server kwetsbaar. Of dat nu Joomla, Wordpress, Drupal of iets anders is.

Extensies

Een groot voordeel van Joomla is dat de basisfunctionaliteit eenvoudig uit te breiden is met een van de vele extensies die er beschikbaar zijn. Met betrekking tot veiligheid is dit ook meteen een bekend nadeel. Want voor iedere extensie geldt in min- of meerdere mate dat deze ook moet worden bijgehouden. Ook daar kunnen kwetsbaarheden in worden ontdekt. Dan komen ze op de VEL (Vulnerable Extensions List): http://vel.joomla.org/

Niet alle makers van extensies doen hun best om kwetsbaarheden op te lossen. Dat betekent dan zo snel mogelijk deïnstalleren! Of als het wel is opgelost, updaten zodra dat mogelijk is.

Het is niet veilig om extensies van een onbekende ontwikkelaar of van onbekende herkomst te installeren. Soms zijn ze verkeerd of onveilig gemaakt of hebben ze slechte (bij)bedoelingen.

Gebruikers

Net als voor veel andere systemen geldt dat de grootse bedreiging voor de veiligheid de gebruikers zelf zijn. Behalve onachtzaamheid met onderhoud, webhosting en extensies kunnen de gebruikers zelf te makkelijke wachtwoorden kiezen of de wachtwoorden laten slingeren waar kwaadwillenden er bij kunnen.

Dubbele beveiliging

Het is in de laatste versie van Joomla mogelijk om te werken met “twee stappen authenticatie”. Daarmee is er behalve een wachtwoord een fysieke sleutel of een veiligheidsapp zoals de Google Authenticator nodig om toegang te krijgen tot de website. Die fysieke sleutel is bijvoorbeeld een Yubikey (soort USB stick). Dit is niet altijd even praktisch maar wel een stuk veiliger.

Monitoring

Als het een hacker toch lukt om een wachtwoord te bemachtigen, en er is geen“twee stappen authenticatie” ingesteld, dan kan er van alles gebeuren.

Daarom is het een goed idee om de website op verschillende manieren in de gaten te houden. Worden er vaak mislukte pogingen gedaan om in te loggen? Worden er bestanden op de website gezet of veranderd die verdacht zijn?

Er zijn diverse gereedschappen om dit te monitoren en een Joomla specialist weet waar op gelet moet worden.

Backup

Mocht er nou toch ergens iets mis gaan na deze adviezen dan heb je gelukkig altijd een geteste backup achter de hand. Toch?

Zes adviezen voor een veilige Joomla website:

  1. Zorg altijd dat de laatste veiligheidsupdates voor Joomla en extensies geïnstalleerd zijn;

  2. Zorg voor actuele monitoring;

  3. Installeer niet zomaar extensies maar laat dit doen door de specialist of doe eerst onderzoek of de herkomst betrouwbaar is;

  4. Maak gebruik van betrouwbare en veilige webhosting diensten;

  5. Gebruik veilige wachtwoorden en voor nog meer veiligheid de nieuwe twee stappen authenticatie;

  6. Zorg ervoor dat er met regelmaat backups gemaakt worden en controleer dat deze lang genoeg bewaard worden en ook getest zijn.

Wij nemen je dit werk graag uit handen. Kijk op onze pagina over onderhoud of ondersteuning of neem direct contact met ons op.