Skip to main content

Misverstand: Joomla is onveilig

In deze korte serie blogartikelen ga ik het hebben over de misverstanden die ik de afgelopen jaren over Joomla gehoord heb. Ik probeer hierbij uit te gaan van de kracht van Joomla zelf maar zal er niet aan kunnen ontkomen om een vergelijking met andere systemen te maken. In deze serie begin ik met de belangrijkste reden waarom ik nog steeds met dit CMS werk, de beveiliging.

Veiligheid door voorspelbaarheid en centralisatie.

Uit eigen interesse kijk ik de laatste tijd steeds vaker in de code en de voorspelbare manier waarop Joomla werkt is al een belangrijke graadmeter voor de veiligheid. Alle front- en backendverzoeken moeten een index.php-bestand doorlopen. Plugins worden op voorspelbare manier getriggerd. Joomla gebruikt voorspelbare directorynamen voor extensies, mediabestanden, afbeeldingen enzovoort.

In Joomla is het voor ontwikkelaars uitsluitend mogelijk om via JInput om toegang te krijgen tot $_FILES, $_GET, $_POST en $_REQUEST superglobals bij het opvragen van gegevens. Dit voorkomt veel aanvallen, omdat er gecentraliseerde punten zijn om beveiliging af te dwingen.

Ga ik kijken naar andere systemen dan zie ik dat de voorspelbaarheid ontbreekt en structuren worden losgelaten om het voor de gebruiker "zo makkelijk mogelijk te maken". Dit ten koste van de veiligheid!

 

De Vulnerable Extensions List.

Betekent dit dat er nooit slecht uitgevoerde extensies of templates zijn? Nee dat doet het niet. Op de website van de Vulnerable Extensions List (https://vel.joomla.org/live-vel) kun je een overzicht zien met extensies waarbij veiligheidsproblemen zijn gevonden. Het is verstandig om regelmatig te controleren of er geen extensies bij zitten die jij toevallig gebruikt. Let wel op het versienummer van de extensie want in veel gevallen is er al een update uitgebracht die dit probleem verholpen heeft.

Joomla zelf heeft in het verleden een aantal beveiligingsproblemen gehad, maar de community werkt wordt steeds beter met betrekking tot de beveiliging van websites en sneller in het oplossen van problemen op dit gebied. Dit komt bovenop het feit dat de basisstructuur al veiligheidsbewust is.

 

Joomla staat niet stil.

Het zal niet lang duren voordat we genieten van de nieuwe versie van Joomla 4.x waaraan het productieteam werkt. Versies 2 en 3 zijn beveiligd, maar er zijn verbeteringen aangebracht in het MVC-model en in de algemene structuur. Veel van de verbeteringen zijn overigens al beschikbaar in Joomla 3.8.

 

Waarom worden er dan toch Joomla websites gehackt?

Het CMS is op zichzelf een veilig systeem om je website mee te (laten) bouwen. 1 van de voorwaarden om je website echt veilig te houden, is dat je software, zowel Joomla zelf als alle extensies, up-to-date gehouden worden. In de afgelopen jaren heb ik zo’n 50 gehackte websites opgeschoond en ze hadden stuk voor stuk hetzelfde probleem. Het was verouderd!

 

Dus zorg ervoor dat je website up-to-date blijft en mocht je daar zelf geen tijd of zin in hebben, overweeg dan een onderhoudscontract, zodat we samen jouw Joomla-website veilig kunnen houden.

Was dit nuttig? Deel het met je vrienden!

Wil je meer weten?

Ben je benieuwd of ik de geschikte partner voor jouw project ben? Kijk dan eens in mijn portfolio, bekijk wat mijn klanten vertellen of neem direct contact met mij op.

Gerelateerde artikelen

Over Jeroen

Sinds 2006 werk ik met Joomla! Ik bouw en onderhoud Joomla-websites en webshops. Daarnaast heb ik veel kennis van zoekmachine-optimalisatie (SEO), hosting en het ontwikkelen van templates en extensies.

Ik bezoek regelmatig JoomlaDagen en gebruikersgroepen, waar ik soms ook als spreker optreed.

Daarnaast zet ik me actief in voor de Joomla-community. Ik ben lid van het Joomla Extensions Directory-team en organiseer de Joomla-gebruikersgroep Breda en JoomlaDagen Nederland.

Ben je op zoek naar een Joomla-specialist? Neem gerust contact met me op!