Samen maken we van jouw website een succes.

Joomla is veilig

In deze korte serie blogartikelen ga ik het hebben over de misverstanden die ik de afgelopen jaren over Joomla gehoord heb. Ik probeer hierbij uit te gaan van de kracht van Joomla zelf maar zal er niet aan kunnen ontkomen om een vergelijking met andere systemen te maken. In deze serie begin ik met de belangrijkste reden waarom ik nog steeds met dit CMS werk, de beveiliging.

 

Veiligheid door voorspelbaarheid en centralisatie.

Uit eigen interesse kijk ik de laatste tijd steeds vaker in de code en de voorspelbare manier waarop Joomla werkt is al een belangrijke graadmeter voor de veiligheid. Alle front- en backendverzoeken moeten een index.php-bestand doorlopen. Plugins worden op voorspelbare manier getriggerd. Joomla gebruikt voorspelbare directorynamen voor extensies, mediabestanden, afbeeldingen enzovoort.

In Joomla is het voor ontwikkelaars uitsluitend mogelijk om via JInput om toegang te krijgen tot $_FILES, $_GET, $_POST en $_REQUEST superglobals bij het opvragen van gegevens. Dit voorkomt veel aanvallen, omdat er gecentraliseerde punten zijn om beveiliging af te dwingen.

Ga ik kijken naar andere systemen dan zie ik dat de voorspelbaarheid ontbreekt en structuren worden losgelaten om het voor de gebruiker "zo makkelijk mogelijk te maken". Dit ten koste van de veiligheid!

 

De Vulnerable Extensions List.

Betekent dit dat er nooit slecht uitgevoerde extensies of templates zijn? Nee dat doet het niet. Op de website van de Vulnerable Extensions List (https://vel.joomla.org/live-vel) kun je een overzicht zien met extensies waarbij veiligheidsproblemen zijn gevonden. Het is verstandig om regelmatig te controleren of er geen extensies bij zitten die jij toevallig gebruikt. Let wel op het versienummer van de extensie want in veel gevallen is er al een update uitgebracht die dit probleem verholpen heeft.

Joomla zelf heeft in het verleden een aantal beveiligingsproblemen gehad, maar de community werkt wordt steeds beter met betrekking tot de beveiliging van websites en sneller in het oplossen van problemen op dit gebied. Dit komt bovenop het feit dat de basisstructuur al veiligheidsbewust is.

 

Joomla staat niet stil.

Het zal niet lang duren voordat we genieten van de nieuwe versie van Joomla 4.x waaraan het productieteam werkt. Versies 2 en 3 zijn beveiligd, maar er zijn verbeteringen aangebracht in het MVC-model en in de algemene structuur. Veel van de verbeteringen zijn overigens al beschikbaar in Joomla 3.8.

 

Waarom worden er dan toch Joomla websites gehackt?

Het CMS is op zichzelf een veilig systeem om je website mee te (laten) bouwen. 1 van de voorwaarden om je website echt veilig te houden, is dat je software, zowel Joomla zelf als alle extensies, up-to-date gehouden worden. In de afgelopen jaren heb ik zo’n 50 gehackte websites opgeschoond en ze hadden stuk voor stuk hetzelfde probleem. Het was verouderd!

 

Dus zorg ervoor dat je website up-to-date blijft en mocht je daar zelf geen tijd of zin in hebben, overweeg dan een onderhoudscontract, zodat we samen jouw Joomla-website veilig kunnen houden.

Over Jeroen
Jeroen - Joomill.nl
Jeroen werkt sinds 2006 met het Joomla! CMS. Naast het bouwen en onderhouden van Joomla! websites en webshops is hij ook bekend met het ontwikkelen van templates en extensies. Verder is Jeroen een frequente bezoeker van de Joomladagen en JUG's en verzorgt hij diverse Joomla! trainingen.  Hij zet zich in voor de Joomla! community als lid van het "Certification Exam & Platform" team en het "Template Directory" team.
Gravatar
Philip
Kun je iets vertellen over de toegevoegde waarde van een extensie als RSFIREWALL Security voor een joomla website.
Is joomla van zichzelf veilig genoeg (mits up-to-date) of heb je dit soort extensies echt wel nodig?

Gravatar
Jeroen
Hoi Philip,

Veiligheids-extensies zoals RSFirewall en Akeeba Admin tools zijn zeker aan te raden. De zaken waarop ze scannen hebben niet direct iets met de "onveiligheid" van Joomla zelf te maken.

Het kan voorkomen dat jouw website aangevallen wordt door een script. Deze scripts zijn met dit soort extensies makkelijk te blokkeren (op ip-adres of land).

Ook wanneer je een hosting-partij hebt die het niet zo nauw neemt met de veiligheid kom je behoorlijk wat problemen tegen (bijv scripts die op een shared-hosting via een andere website toch toegang hebben tot jouw bestanden.)
Deze tools zijn ook te gebruiken om te controleren of er geen wijzigingen worden gemaakt in jouw bestanden en om jouw .htaccess-bestand te verbeteren, etc.

Wat Joomla zelf betreft, blijft het gewoon logisch nadenken (geen superuser laten inloggen met admin als wachtwoord, geen warez-sites gebruiken voor je templates en extensies) en alles up to date houden, dan kan er weinig fout gaan.

1000 Resterende tekens