Is een open source CMS wel veilig?

Open source betekent letterlijk 'open code'. De code van een open source project is door iedereen te bekijken. Mensen kunnen de code gebruiken en hier hun eigen project mee maken of ze kunnen voorstellen doen om de bestaande code te veranderen of te verbeteren.

Er bestaan honderden open source content management systemen. Een content management systeem (CMS) is een pakket met code. Je kunt dit pakket installeren op je eigen server of gebruik maken van een hosting provider die het CMS voor je installeert. Met een CMS kun je snel en gemakkelijk websites bouwen. Een CMS stelt je onder andere in staat pagina's aan te maken binnen jouw website en deze te linken via een menu.

Net zoals bij elk open source project is ook de code van open source CMS door iedereen in te zien. Dit klinkt gevaarlijk, omdat dit betekent dat hackers en andere mensen die kwaad willen, zwakke plekken gemakkelijk kunnen opsporen en deze kunnen misbruiken. Vanuit dit perspectief is een open source CMS onveilig.

De hackers kunnen deze zwakke plekken zien, maar dit geldt ook voor de mensen die meewerken aan het project. Bij populaire open source CMS-en zoals Drupal, Joomla en Wordpress zie je daarom dat een zwakke plek in de code vrijwel direct gedicht wordt. Juist omdat iedereen een steentje kan bijdragen aan het project, kun je een open source CMS project vergelijken met een gigantisch bedrijf waar onnoemelijk veel programmeurs in dienst zijn. Als je het zo bekijkt is een open source CMS juist heel erg veilig.

Het alternatief: een closed source CMS

Je kunt ook kiezen voor een 'closed source' CMS. Closed source betekent hier letterlijk 'gesloten code'. De code is alleen inzichtelijk voor degene die het CMS gebouwd hebben en beheren. Je betaalt over het algemeen maandelijks een bedrag om gebruik te mogen maken van het CMS. Het bedrijf wat het CMS aan jouw 'verhuurt' zorgt er dan voor dat alle code veilig blijft.

Dit klinkt goed, omdat de code gesloten is en een hacker daarom niet kan snuffelen naar lekken. Dit betekent echter niet dat een closed source CMS nooit gehackt kan worden. Een behendige hacker kan namelijk ook ingangen vinden, zonder de code in te hoeven zien. Dit is een belangrijk punt om rekening mee te houden, want wat gebeurt er als een closed source CMS wordt gehackt? Dan ben je afhankelijk van het bedrijf dat het CMS voor jou moet onderhouden. Als je dan gaat kijken naar hoeveel programmeurs er aan de slag gaan met dat lek, dan zijn dat er exponentieel veel minder dan bij een open source CMS project.

Op de hoogte blijven? Meld je aan voor onze nieuwsbrief

Updates

De veiligheid van jouw open source CMS website staat of valt bij de manier hoe jij met updates omgaat. De zogenaamde core (de code die standaard geïnstalleerd wordt) moet altijd up to date zijn. Wanneer er een update voor de core verschijnt, moet deze zo snel mogelijk toegepast worden. Naast de core moeten ook de modules of plugins, die de standaard code uitbreiden met extra functionaliteit, worden bijgewerkt. Zorg voor goede afspraken met de partij die je website gebouwd heeft of de hosting partij waar de website gehost wordt. Wie is er verantwoordelijk voor de updates? Wanneer je die vraag pas gaat stellen als je website gehackt is, ben je te laat.

Conclusie

De vraag of een open source CMS veilig is kan ik beantwoorden met: ja, mits de website altijd up to date is. De grote groep programmeurs die werkt aan een open source CMS zorgt ervoor dat problemen omtrent de veiligheid erg snel opgelost worden. Maar zolang de beheerder van de website er niet voor zorgt dat deze security fixes toegepast worden door middel van updates, heb je er niks aan.

Heb je vragen over mijn artikel? Plaats dan een reactie en ik zal je vraag zo snel mogelijk beantwoorden.