Is je contentmanagementsysteem (CMS) wel veilig?
De beveiliging van websites is altijd belangrijk, maar we zien toch vaak dat bedrijven concessies doen. Ze huren bijvoorbeeld ontwikkelaars in om hun website te bouwen met open source-software, en ‘besparen’ op beveiligingsexperts. Als gevolg slagen veel bedrijven er niet in om hun website up-to-date en optimaal beschermd te houden.
Symantec maakte onlangs alarmerende feiten bekend over verschillende aanvallen en beveiligingslekken op websites. Die aantallen zijn in 2019 enorm toegenomen. Het aantal formjacking-aanvallen is explosief gestegen: elke maand worden gemiddeld 4.800 websites gecompromitteerd. Volgens Symantec zijn er door toenemend gebruik van de cloud inmiddels meer dan zeventig miljoen records gestolen uit verkeerd geconfigureerde S3-buckets. Het aantal infecties van bedrijven met ransomware, dat zich ooit voornamelijk richtte op consumenten, is met twaalf procent gestegen. En hoewel toeleveringsketens voor hackers aantrekkelijk blijven (het aantal aanvallen steeg met 78 procent), worden met de explosieve groei van IoT de vaak kwetsbare apparaten een nieuw doelwit voor gerichte aanvallen.
Nu het aantal cyberaanvallen en beveiligingslekken explosief toeneemt, is de beveiliging van webapplicaties voor bedrijven belangrijker dan ooit. Ten minste één overheidsinstantie is onlangs mogelijk vele miljoenen records kwijtgeraakt door gebrekkige beveiliging en slechte back-ups. En als gevolg van een recent beveiligingslek bij een grote hotelketen zwerven mijn persoonsgegevens en creditcardgegevens nu waarschijnlijk rond op het dark web, om daar aan de hoogste bieder te worden verkocht.
Oorzaak hacks ligt vaak in gebrekkig onderhoud open source-CMS’en
Volgens een recent rapport over websitebeveiliging van ZDNet houden de meeste websitehacks verband met kwetsbaarheden in plug-ins en thema’s, verkeerde configuraties en gebrek aan onderhoud door webmasters, die vergeten hun contentmanagementsysteem (CMS) te updaten. De meest door ZDNet besproken gehackte CMS’en waren allemaal open source.
En dat is nog niet alles. Veel webmasters vertrouwen op integratie-oplossingen of platforms voor e-commerce. Maar deze bieden niet voldoende bescherming van bedrijfs- en klantgegevens, omdat ze vaak achterhaalde platformdistributies gebruiken. De meeste gehackte, verouderde CMS-systemen waren e-commerceplatforms.
Toch kiezen veel webmasters en websitebeheerders ervoor om hun kop in het zand te steken. Zij willen de realiteit van het hedendaagse beveiligingslandschap niet onder ogen zien. Maar gezien de overvloed aan beschikbare informatie en een breed aanbod aan contentmanagementsystemen mag onwetendheid geen excuus meer zijn. De beveiliging van websites, API’s en systemen moet een integraal onderdeel zijn van elke strategie voor contentmanagement, e-commerce en webervaringen.
Bescherming tegen beveiligingslekken
Een goede eerste stap is om te kijken naar de meest voorkomende beveiligingsrisico’s van applicaties, en samen met de IT-afdeling of -leverancier na te gaan of zij adequate maatregelen hebben getroffen om ten minste een aantal van de risico’s op deze lijst het hoofd te bieden. Als een organisatie een gratis open source CMS-platform gebruikt, of een zelfgebouwd systeem voor contentmanagement heeft, is de kans groot dat deze beveiligingscheck op zich al een uitdaging is, laat staan het dichten van potentiële beveiligingslekken.
Een website goed beveiligd houden is niet eenvoudig. Dat vraagt om een aanzienlijke hoeveelheid planning en de implementatie van een complete strategie die veel verder gaat dan het beveiligen van één of enkele websites, naast API’s en servers voor ontwikkeling, staging en productie. Wie niet precies weet waarom kwetsbaarheid voor SQL-injectie de bedrijfsvoering negatief kan beïnvloeden, kan zich vast wel iets voorstellen bij buzzwords als ‘defecte authenticatie’ of ‘blootstelling van gevoelige gegevens’. Voorkom dit door een CMS te gebruiken dat tegen de meest kritieke webbeveiligingsrisico’s beschermt. Kies in beginsel voor een CMS die is voorzien van een module voor webbeveiliging, waarmee beheerders gemakkelijk security response headers kunnen configureren om websites optimaal te beschermen.
Goed beveiligd CMS biedt de oplossing
Wil je de beveiliging, prestaties of productiviteit van je organisatie verbeteren en wil je af van je huidige open source-CMS? De oplossing is een goed presterend en beveiligd CMS dat aan je actuele behoeften voldoet en tegelijk ondersteuning en ontwikkeling mogelijk maakt die ook op de lange termijn aansluiten op de doelstellingen van je organisatie.
Gerelateerd event
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
3 Reacties
bert
Beste Monique, leuk dat jet het zo praktisch brengt, maar dit probleem is enorm META. Dit soort problemen resulteren namelijk in 2 nog grotere problemen. Immers niet alleen webshops en bedrijfssites hebben er last van (weinig impact voor de samenleving), ook forums en wiki’s hebben er last van (véél grotere impact op de samenleving).
Op dit moment geldt:
“Per seconde VERDWIJNT er meer zinvolle informatie van internet dan dat ERBIJ KOMT”.
En ook:
“De mogelijkheden tot hacken van een site nemen sneller toe dan de capaciteit om je er tegen te wapenen”.
Gevolg is dat we steeds meer in platformen worden gedwongen (FB, Google cloud, Azure, Amazon, Bol). Dit is op dit moment de meest schadelijk tendens voor de mensheid, en leidt tot een collectieve verdomming met mythische impact.
Jan Willem Eshuis - JWE
Moet er boven dit artikel niet gewoon “advertentie” of “link building” staan?
In het hele artikel staan 2 links, precies naar het bedrijf en CMS van schrijver?
Martijn Boomsma - Perfect Web Team
Niet alleen (weer) een advertorial (jammer dat het er niet groot boven staat) maar ook weer vol onwaarheden over Open Source CMS’en. Het is een Mythe dat closed source veiliger is dan open source! En gewoon een leugen als je dat verkondigd met het doel je eigen product betrouwbaarder te laten overkomen. “Met name in het geval van software is het van belang de broncode te kunnen bestuderen om niet alleen zwakke plekken en fouten, maar ook bewust aangebrachte “achterdeurtjes” te ontdekken.”(Bron: Wikipedia.org)
En als meer dan de helft van het interweb bestaat uit open source CMS’en dan is het niet zo moeilijk om het grootste doelwit van hackers te zijn.. Dat is geen moeilijke rekensom.
Ook beveiligingexperts vinden geen lekken in up to date open source CMS’en en het mooie is, als dat wel gebeurt dan is het proces volledig transparant en worden de lekken snel gedicht.
Als je verwijst naar “relevant onderzoek” of “rapporten” dan mag je best de daadwerkelijke bronnen vermelden want het maakt het verhaal er niet bepaald geloofwaardiger op. Marketing Manager: Betaald krijgen om zoveel mogelijk onzin te verkopen over andere producten ten gunste van het eigen product? Als je een goed product hebt concentreer je daar dan op en bewijs het maar. O wee, als iemand een hack vind van jouw product: “Sitefinity 4.2 constantly getting hacked” (Bron: Google search)