hoe zorg je ervoor dat je drupal website veilig is?

Je website veilig houden is belangrijker dan ooit. Je moet namelijk niet alleen je eigen bedrijf beschermen, maar ook je klanten. Waarom is beveiliging de laatste jaren zo'n belangrijk thema en hoe zorg je ervoor dat je Drupal website veilig is? We geven je enkele nuttige tips!

waarom beveiliging belangrijk is.

Als je website onveilig is, geef je hackers in feite een vrijgeleide om te doen wat ze willen. En een onveilige website die wordt gehackt, kan tal van gevolgen hebben. Niet alleen voor jou, maar ook voor je klanten:

• je website wordt onbruikbaar, waardoor je inkomsten verliest  
• de database van je website, die klantgegevens bevat, kan worden gelekt, geüpload naar het dark web en gebruikt voor kwaadwillige praktijken  
• de hostingomgeving van je website kan deel gaan uitmaken van een botnet en worden gebruikt voor illegale activiteiten  
• je website kan worden gebruikt om illegale bestanden te hosten en de content van de site kan worden gewijzigd om politieke, religieuze of lasterlijke boodschappen te hosten  
• om in overeenstemming te zijn met de GDPR, moet je jouw gebruikers melden dat hun gegevens zijn gestolen, wat nefast is voor je bedrijfsimago

drupal en beveiliging.

is OSS veilig?

Heel wat mensen gaan er vaak van uit dat open source software (OSS) minder veilig is dan gepatenteerde software. Ze denken dan dat het voor kwaadwillende hackers makkelijker is om kwetsbaarheden te ontdekken, juist omdat de code vrij beschikbaar is. 

Maar dat is niet zo. Eigenlijk is het net omgekeerd: veel mensen in verschillende functies, zoals ethische hackers, ontwikkelaars, bijdragers, gebruikers ... werken voortdurend met de open source software. Zo is de kans groter dat ze kwetsbaarheden ontdekken en kunnen verhelpen. Bovendien worden beveiligingsproblemen veel sneller aangepakt met een security release dan het geval is bij gepatenteerde software.

het drupal security team.

Drupal neemt beveiliging zeer serieus en heeft een goed doordacht proces en een speciaal security team om kwetsbaarheden aan te pakken. Het security team behandelt gemelde problemen vertrouwelijk, ondersteunt andere modulebeheerders bij het opschonen van hun code en verstrekt documentatie over de beveiliging.

drupal security updates.

Om eigenaars van websites op de hoogte te houden van security releases, maakt Drupal gebruik van zogenaamde security meldingen. Dat zijn publieke aankondigingen van het Drupal security team over een beveiligingsprobleem, met uitleg om het aan te pakken. Meestal moet je dan een nieuwe release installeren. Beveiligingsproblemen worden altijd vertrouwelijk behandeld tot de melding wordt vrijgegeven. Je kunt alle eerdere securitymeldingen lezen op de Drupal website. 

tips om veilige websites te maken met drupal.

Nu weet je dus hoe belangrijk een veilige website is. Maar hoe zorg je ervoor dat je website 100% veilig is? We geven je enkele tips!

• Kies je modules verstandig. Ga je voor een zogenaamde 'contrib' module? Kies dan een module die veel wordt gebruikt, een stabiele release heeft en is opgenomen in het beleid inzake securitymeldingen. Je kunt dit op drupal.org zien aan het pictogram van een groen schild op de pagina van de module. Laat modules die maar weinig mensen geïnstalleerd hebben of waarvan de release niet stabiel is, links liggen.  
• Code die speciaal voor een specifiek project is geschreven, bevat doorgaans veel kwetsbaarheden. Hou dus altijd rekening met de veiligheid als je zelf je modules en thema's ontwikkelt. Gebruik de Drupal API's en hou je aan best practices zoals de OWASP-standaard.  
•  Overweeg om een externe deskundige een beveiligingsaudit of PEN-test te laten uitvoeren van je project.

Wil je weten hoe we omgaan met de beveiliging van onze Drupal websites? Download onze workflow om meer inzichten te krijgen of neem contact op met mathias.henderick@ausy.be voor meer informatie over hoe we je kunnen helpen met je Drupal sites.