CMS’en worden gehacked: wat te doen met Drupal?

Dat het niet updaten van een Content Management Systeem tot problemen leidt, is algemeen bekend. Maar hoe groot het risico in praktijk is, blijft altijd wat abstract. Een illustratie aan de hand van Drupal en wat gebruikers van dit CMS zelf kunnen doen.

Ongeveer een derde van alle websites draait op één van de grote vier: WordPress, Joomla, Drupal of Magento. Dat er zoveel goede CMS’en zijn heeft ook een keerzijde. Het web raakt overspoeld met websites die niet (goed) worden geüpdatet. Cijfers van Google tonen aan waar dat toe leidt. In het voorjaar van 2015 had het bedrijf de bezoekers van 17 miljoen websites gewaarschuwd dat de site malware op de computer plaatste. Een jaar later was dit al 50 miljoen.

Google plaatst nu wekelijks zo’n 20 duizend sites op een blacklist vanwege de verspreiding van malware, nog eens 50 duizend worden geblokkeerd vanwege phishing, zegt beveiligingsbedrijf Sucuri. En dat is echt niet alleen omdat er kwaadwillenden actief zijn, blijkt uit cijfers van die organisatie. Het analyseerde afgelopen kwartaal elfduizend geïnfecteerde sites. Ongeveer de helft van de geïnfecteerde WordPress-sites bleek niet up-to-date, maar liefst 81 procent van de sites draaiend op Drupal.

Bron van problemen

Waar dat toe kan leiden, werd dit voorjaar overduidelijk. De openbaarmaking van de Panama Papers bleken volgens zakenblad Forbes het gevolg van een lek in Drupal. Het juridische advieskantoor liet al meer dan een jaar na zijn CMS te updaten. Ook al is eind 2014 gewaarschuwd voor de ernst van een lek in de software. Geen aandacht geven aan security of aannemen dat updates automatisch worden geïnstalleerd is vragen om een ramp, schrijft Alan Nugent, chief information security officer bij CMS-specialist Acquia.

Juist die automatische updates – of beter gezegd: de complexiteit ervan – zijn een bron van problemen, blijkt uit het rapport van Sucuri. Dat betekent dat makers van templates en aanvullende modules soms een groot deel van hun code moeten herzien zodra het CMS een grote update uitbrengt. Dat gebeurt lang niet altijd en dus laten gebruikers het na te updaten. Het gevolg: de websites draaien met de achterdeuren wagenwijd open.

‘Leven van site eindigt niet bij livegang’

Is er sprake van een zeker risico? Dat er nog websites zijn die draaien op een oudere versie betekent niet automatisch dat de achterdeur wagenwijd open staat, benadrukt Joris van Eijden – software engineer bij One Shoe en expert op het gebied van beveiliging. Er zijn geen kritieke gaten bekend in de laatste Drupal 6 versie (6.38), hetzelfde geldt voor Drupal 5 (5.23), legt hij uit.

‘Drupal is een erg veelzijdig gratis CMS en daardoor in gebruik bij veel verschillende entiteiten.’ Naast het ‘professionele segment’ waarin bedrijven en overheden sites laten ontwikkelen en beheren door een externe partij, is een groot deel van de sites een hobbyproject. Weer een ander deel wordt intern ontwikkeld en beheerd bij mkb-bedrijven en gemeenten. ‘Die hebben verschillende eisen en ook mogelijkheden met betrekking tot beveiliging.’

‘Wat ik merk is dat bedrijven soms weinig aandacht besteden aan beveiliging en onderhoud. Men realiseert zich meestal niet dat het leven van een site niet eindigt bij de livegang, maar daar juist begint. Onderhoudscontracten of security update service level agreements worden raar en duur gevonden. Of er is alleen budget voor de initiële bouw. Vooral in Nederland wordt een website vaak gezien als een product dat je eenmalig aanschaft. In het buitenland is het eerder een dienst die je afneemt over een langere periode.’

Toch blijven de gebruikers van het CMS hoofdverantwoordelijke voor de beveiliging van hun eigen software. Drupal heeft in de laatste update daarom geïnvesteerd in een aanvulling op de ‘core’ die updaten vanaf eerdere versies (via een interface) makkelijker maakt. Deze migratietool is te vinden in versie 8.1.0 – maar volgens de maker nog wel nog in experimentele staat. In volgende updates van het Drupal worden hier ongetwijfeld nog verbeteringen in aangebracht.

‘Reserveer twee uur per maand’

Wat kunnen gebruikers doen? Van Eijden: ‘Mijn advies aan bedrijven die intern beheren is om je te abonneren op de security nieuwsbrief. Reserveer zeker twee uur per maand in je agenda om de site te controleren op problemen en updates uit te voeren. Zorg dat je je voldoende inleest zodat je weet wat er moet gebeuren als iemand in paniek aan je bureau staat en meldt dat de bedrijfssite is gehacked.’

Voor bedrijven die de site extern laat bouwen: ‘sluit absoluut een onderhoudscontract af voor na de oplevering. Spreek af binnen welke termijn ze in Drupal ontdekte kwetsbaarheden oplossen.’ En vergeet daarbij niet de hosting, geeft Van Eijden als laatste mee. Maak ook daarmee heldere afspraken over de verantwoordelijkheden van beide partijen. Zo houd je Drupal zo optimaal mogelijk in de lucht.