Beveiliging van uw bedrijfgegevens is belangrijk, toch?
Heeft u een klantportaal of een besloten gedeelte op uw website waar u belangrijke bedrijfsinformatie deelt met uw medewerkers? Lees dan waar je op moet letten om deze gegevens goed te beschermen en hoe wij hiermee omgaan met Enterprise CMS Plone.
Beveiliging van waardevolle gegeven of persoonsgegevens is belangrijk, vindt iedereen. Er worden steeds nieuwe trucs verzonnen om de beveiliging van uw CMS te omzeilen en er worden jaarlijks duizenden websites gehackt.
Uit het CMS-beveiligingsrapport op sucuri.net blijkt dat websites zonder security updates het vaakst gehackt worden, desondanks wordt slechts een klein percentage van de opgeleverde systemen regelmatig bijgewerkt. Zo is van Joomla! 84%, Magento 96%, en Drupal 81% websites niet bijgewerkt met de laatste beveiligingsupdates.
In veel gevallen komt dit door onwetendheid, maar ook omdat vaak veel maatwerk geleverd is waardoor het meer tijd vergt om beveiligingsupdates te integreren.
Plone heeft een zeer sterk track record als het gaat om veiligheid. Het aantal beveiligingslekken is veel lager dan bij andere CMS-en zoals Drupal of Magento omdat wij binnen de Plone community hier serieus mee omgaan.
- We gebruiken goede coding practices
- We hebben heldere processen inclusief continuous integration en testing
- We hebben een proactief security team dat regelmatig beveiligingsassessments uitvoert, claims en meldingen van beveiligingslekken onderzoekt en daar gepast en snel op antwoordt.
- We hebben nog nooit een melding ontvangen van een Plone website die gehackt is middels een echt beveiligingslek.
Onze medewerker Maurits van Rees is lid van het security-team. Dit team ontwikkelt hotfixes die de laatste twee major releases ondersteunen, op het moment van schrijven Plone 4 en Plone 5. Deze hotfixes worden twee weken van te voren aangekondigd. Op D-day staan meer dan 350 Plone experts klaar om deze patch direct door te voeren op alle gehoste websites. Niet voor niets dat organisaties als de FBI Plone hebben gekozen.
Onlangs werd er op Twitter geclaimd door een hacker dat de website van de FBI gehackt zou zijn en dat hij e-mailadressen en wachtwoorden achterhaald zou hebben. Het security team heeft dit onderzocht, de intenties van het bericht ontmaskerd en direct een bericht over beveiliging gepubliceerd. Het bleek namelijk een scam om zijn "zogenaamde hack" te verkopen middels een Bitcoin transactie. Het volledige bericht is na te lezen op security.nl.
Waar u zelf op kunt letten
Allereerst zal uw website op HTTPS moeten draaien, zodat er geen gebruikersnamen en wachtwoorden onversleuteld over het Internet gaan. Veel mensen hergebruiken hun wachtwoord voor meerdere websites, waaronder webshops. Als uw website al op HTTPS draait, dan is het handig om uw domein eens in te vullen bij www.ssllabs.com. Als uw website geen A+ label haalt, wordt het tijd om actie te ondernemen. Dit is meestal geen onderdeel van het CMS maar van de webserver die voor het CMS geplaatst is.
Het gebruik van een gemakkelijk te raden wachtwoord blijven één van de grootste risico's. Wachtwoorden moeten naar kleine en hoofdletters ook cijfers en één of meer speciale characters als bijv: $&*#@! Op die manier wordt het nagenoeg onmogelijk voor brute force pogingen op basis van een woordenboek.
Als je het gedoe met wachtwoorden onthouden zat bent kun je ook kiezen voor een wachtwoordtooltje zoals KeePass of helemaal online met LastPass of Dashlane. Hiermee genereer je complexe wachtwoorden en bewaard een kopie online. Door zelf één maal in te loggen in de tool, wordt voor ieder loginscherm automatisch de gebruikersnaam en het wachtwoord ingevuld. Je kunt ook meerdere accounts bewaren voor dezelfde website.