Is een open source CMS wel veilig?
Open source betekent letterlijk 'open code'. De code van een open source project is door iedereen te bekijken. Mensen kunnen de code gebruiken en hier hun eigen project mee maken of ze kunnen voorstellen doen om de bestaande code te veranderen of te verbeteren.
Er bestaan honderden open source content management systemen. Een content management systeem (CMS) is een pakket met code. Je kunt dit pakket installeren op je eigen server of gebruik maken van een hosting provider die het CMS voor je installeert. Met een CMS kun je snel en gemakkelijk websites bouwen. Een CMS stelt je onder andere in staat pagina's aan te maken binnen jouw website en deze te linken via een menu.
Net zoals bij elk open source project is ook de code van open source CMS door iedereen in te zien. Dit klinkt gevaarlijk, omdat dit betekent dat hackers en andere mensen die kwaad willen, zwakke plekken gemakkelijk kunnen opsporen en deze kunnen misbruiken. Vanuit dit perspectief is een open source CMS onveilig.
De hackers kunnen deze zwakke plekken zien, maar dit geldt ook voor de mensen die meewerken aan het project. Bij populaire open source CMS-en zoals Drupal, Joomla en Wordpress zie je daarom dat een zwakke plek in de code vrijwel direct gedicht wordt. Juist omdat iedereen een steentje kan bijdragen aan het project, kun je een open source CMS project vergelijken met een gigantisch bedrijf waar onnoemelijk veel programmeurs in dienst zijn. Als je het zo bekijkt is een open source CMS juist heel erg veilig.
Het alternatief: een closed source CMS
Je kunt ook kiezen voor een 'closed source' CMS. Closed source betekent hier letterlijk 'gesloten code'. De code is alleen inzichtelijk voor degene die het CMS gebouwd hebben en beheren. Je betaalt over het algemeen maandelijks een bedrag om gebruik te mogen maken van het CMS. Het bedrijf wat het CMS aan jouw 'verhuurt' zorgt er dan voor dat alle code veilig blijft.
Dit klinkt goed, omdat de code gesloten is en een hacker daarom niet kan snuffelen naar lekken. Dit betekent echter niet dat een closed source CMS nooit gehackt kan worden. Een behendige hacker kan namelijk ook ingangen vinden, zonder de code in te hoeven zien. Dit is een belangrijk punt om rekening mee te houden, want wat gebeurt er als een closed source CMS wordt gehackt? Dan ben je afhankelijk van het bedrijf dat het CMS voor jou moet onderhouden. Als je dan gaat kijken naar hoeveel programmeurs er aan de slag gaan met dat lek, dan zijn dat er exponentieel veel minder dan bij een open source CMS project.
Updates
De veiligheid van jouw open source CMS website staat of valt bij de manier hoe jij met updates omgaat. De zogenaamde core (de code die standaard geïnstalleerd wordt) moet altijd up to date zijn. Wanneer er een update voor de core verschijnt, moet deze zo snel mogelijk toegepast worden. Naast de core moeten ook de modules of plugins, die de standaard code uitbreiden met extra functionaliteit, worden bijgewerkt. Zorg voor goede afspraken met de partij die je website gebouwd heeft of de hosting partij waar de website gehost wordt. Wie is er verantwoordelijk voor de updates? Wanneer je die vraag pas gaat stellen als je website gehackt is, ben je te laat.
Conclusie
De vraag of een open source CMS veilig is kan ik beantwoorden met: ja, mits de website altijd up to date is. De grote groep programmeurs die werkt aan een open source CMS zorgt ervoor dat problemen omtrent de veiligheid erg snel opgelost worden. Maar zolang de beheerder van de website er niet voor zorgt dat deze security fixes toegepast worden door middel van updates, heb je er niks aan.
Heb je vragen over mijn artikel? Plaats dan een reactie en ik zal je vraag zo snel mogelijk beantwoorden.
Meer lezen over Open Source?
Laat hieronder je e-mailadres achter en download onze gratis whitepaper over Open Source. In deze whitepaper nemen we je mee in de wereld van open source-technologie voor websites. We behandelen de verschillen tussen open en closed source, de voordelen die open source kan bieden, maar ook de valkuilen en risico’s waar je op moet letten.
Hoe houd je een open source CMS veilig?
De veiligheid van een open source CMS staat of valt grotendeels met het beheer erna. Een platform kiezen is stap één; het veilig houden is een doorlopend proces. Dit zijn de praktische maatregelen die het meeste verschil maken:
- Houd de kern en alle modules of plugins actueel. Verouderde software is de grootste kwetsbaarheid, niet de open broncode zelf.
- Gebruik alleen actief onderhouden modules. Check of een module nog wordt bijgehouden en of er een actieve community achter zit.
- Beperk gebruikersrechten. Geef beheerders alleen de rechten die ze nodig hebben. Onnodige beheerdersaccounts zijn een risico.
- Stel tweefactorauthenticatie in voor beheerders, vooral als het CMS publiek bereikbaar is.
- Maak regelmatig back-ups en test of je ze kunt terugzetten. Een back-up die je niet kunt herstellen is geen back-up.
- Monitor op verdachte activiteit. Logging en meldingen bij mislukte inlogpogingen geven je vroegtijdig signalen.
Veelgestelde vragen over de veiligheid van open source CMS
Welk open source CMS is het veiligst?
Drupal staat bekend om zijn sterke veiligheidsbeleid. Het Drupal Security Team brengt gecoördineerde updates uit en publiceert heldere security advisories. WordPress heeft een gigantisch marktaandeel, wat het een populair aanvalsdoel maakt, maar het platform zelf is niet onveilig. De plugins vormen daar het grotere risico. Joomla zit er tussenin. In alle gevallen geldt: goed beheer telt zwaarder dan de platformkeuze.
Is mijn CMS gevaarlijker omdat de code openbaar is?
Nee, dat is een veelgehoord misverstand. Open source code wordt juist intensief beoordeeld door een grote groep developers wereldwijd. Kwetsbaarheden worden daardoor sneller gevonden én sneller opgelost dan bij gesloten software. Bij gesloten software heb je geen inzicht in de kwaliteit van de onderliggende code.
Hoe vaak moet ik mijn CMS updaten?
Beveiligingsupdates moeten zo snel mogelijk worden doorgevoerd, bij voorkeur binnen een paar dagen na de release. Functie-updates kunnen je iets meer tijd geven om te testen. Stel updates niet uit: de meeste aanvallen richten zich op bekende kwetsbaarheden waarvoor allang een patch beschikbaar is.
Wat zijn de risico's van een verouderd CMS?
Een verouderd CMS is kwetsbaar voor bekende aanvalsmethoden waarvoor de patches al beschikbaar zijn maar niet zijn toegepast. Denk aan SQL-injectie, cross-site scripting of brute force aanvallen op zwakke inlogpagina's. Naast veiligheidsrisico's loop je ook het risico op incompatibiliteit met nieuwe PHP-versies of hostingomgevingen, wat de site langzaam kan breken.
Moet ik een aparte beveiligingsspecialist inschakelen voor mijn CMS?
Dat hangt af van de schaal en gevoeligheid van je website. Voor een eenvoudige informatiewebsite is een betrouwbaar bureau dat actief beheer uitvoert voldoende. Voor webapplicaties die persoonsgegevens verwerken of integreren met andere systemen, is het verstandig om periodiek een security audit te laten uitvoeren. Emble biedt onderhoud en beheer voor Drupal, Laravel en React-applicaties, inclusief het bijhouden van beveiligingsupdates.
Hoe kies ik een betrouwbare partij voor mijn open source CMS?
Let op ervaring met het specifieke platform, een duidelijk beheerproces en transparantie over updates en responstijden bij incidenten. Een bureau dat open source platformen actief gebruikt en bijdraagt aan de community heeft doorgaans meer kennis van de veiligheidsaspecten. Lees hoe wij werken op de pagina over onze aanpak, of bekijk onze cases voor voorbeelden uit de praktijk.
-2-1980x1112.webp&w=2048&q=75)
