woensdag, 21 september 2022
Is jouw Drupal website wel veilig?
Hoewel de kernstructuur van Drupal al een hoge mate van beveiliging biedt, moet de website wel op de juiste manier geconfigureerd zijn en moet deze altijd up-to-date zijn met de laatste beveiligingsupdates.
Het volgende aspect dat je in acht moet nemen is nogal voor de hand liggend, namelijk de rolverdeling en de bijbehorende rechten die toegekend zijn aan diegenen die toegang hebben tot allerlei processen binnen het CMS. Ga goed na welke personen je welke rechten toekent. Vermijd het uitgeven van bepaalde rechten aan personen die niks met deze rechten van doen hebben. Wij raden je bovendien ten zeerste aan om een aparte account te hebben voor elke gebruiker met toegang. We weten allemaal dat gedeelde accounts een hoog veiligheidsrisico met zich meebrengen. Indien er iets misgaat, is de aanstichter dan immers een stuk lastiger aan te wijzen.
Veiligheid gaat immers niet alleen over hoe de website technisch gezien in elkaar zit. Ook menselijke fouten of andere kwetsbaarheden moeten worden voorkomen. Daarom zullen we in deze blog stap voor stap enkele basis beveiligingsprincipes doornemen.
Drupal core
up-to-date blijven is hier het sleutelwoord! Blijf op de hoogte van beveiligingsupdates en pas ze toe op uw website wanneer de tijd daar is. Je kunt updatenieuws volgen op https://drupal.org/security, maar ook op twitter, op https://twitter.com/drupalsecurity.
Sterk wachtwoord
Het hebben van een sterk wachtwoord lijkt misschien vanzelfsprekend, maar wachtwoordbeheer is eigenlijk een van de meest voorkomende beveiligingsproblemen. Neem het niet te licht op! Een zwak wachtwoord is immers bijna net zo erg als het niet hebben van een wachtwoord…
Maar hoe kun jij dit concreet aanpakken? Er bestaat een Drupal module genaamd Password Policy. Het is ten zeerste aan te raden deze te downloaden en er zo voor te zorgen dat alle gebruikers met toegang geoptimaliseerde, sterke wachtwoorden hebben. Het is ook een goed idee om het regelmatig vernieuwen van de wachtwoorden verplicht te stellen. Bovenstaande maatregelen zijn standard practices voor onze Drupal developers als zij een site bouwen.
Veilig bestanden uploaden
Stel beperkingen in en controleer altijd de bestanden die door andere gebruikers worden geupload. Vergeet niet om regels op te stellen met betrekking tot de bestandsgrootte, het type, enz. En we zeggen het nog maar eens: verdeel en controleer de gebruikers-rollen en -rechten zorgvuldig en geef geen onnodige autorisaties.
Beveiligingsoverzicht
Installeer de module Security Reviews en neem de nodige maatregelen op basis van de analyseresultaten. Deze module is vooral nuttig om u te herinneren aan veiligheidscontroles die onopgemerkt voorbij zijn gegaan.
Denk er echter aan deze module niet te gebruiken op live websites. Deactiveer hem en verwijder hem uit het bestandssysteem wanneer uw website live gaat.
Veilige codering
Zorg ervoor dat de speciale modules en thema's die u hebt opgenomen niet leiden tot een kwetsbaarheid in de beveiliging. Scan uw website met gespecialiseerde toepassingen (bv. netsparker) tegen kwetsbaarheden zoals XSS (cross-site scripting) of SQL Injection. Wij raden dan ook ten zeerste aan om Drupal API's te gebruiken in de ontwikkelingsfase van modules, omdat dit helpt om uw Drupal code veiliger te houden.
Dit zijn slechts enkele van de eerst stappen die jij kan zetten om jouw Drupal website te beveiligen. Deze stappen kun jij eigenlijk allemaal zelf al gemakkelijk implementeren. Indien jij jouw website of applicatie in hogere mate wil beveiligen - hetgeen zeker nodig is - of gewoon niet precies weet wat je met de resultaten die bepaalde tests aan moet, dan is het ten zeerste aan te raden om de hulp van Drupal developers in te schakelen. Bij VDMi hebben wij zulke developers in dienst. Zij houden zich enkel en alleen bezig met de CMS Drupal en zijn bovendien elk op een uniek vlak gespecialiseerd. Zo zullen zij de mate van veiligheid van jouw website kunnen maximaliseren. Ben jij geĂŻnteresseerd in wat onze Drupal developers jou kunnen bieden? Neem contact op via info@vdmi.nl of 010 486 0118.