ICATT interactive media ICATT interactive media

CMS security is niet sexy genoeg

Met een Content Management Systeem (CMS) beheer je de inhoud van je website, maar dat is het dan ook. Vaak wordt vergeten dat het CMS zelf ook moet worden onderhouden. Bij maar liefst 56% van alle gehackte websites was de oorzaak een niet up-to-date CMS*. Pascal geeft tips hoe je dit risico met een aantal simpele oplossingen kunt beperken.    

CMS security is niet sexy genoeg

 

2.200 websites onderzocht

Als experts in onder andere hosting en beheer van het open source CMS-systeem DNN hebben we onlangs zelf proactief 2.200 DNN-websites geanalyseerd om vast te stellen hoe het met de veiligheid van deze websites is gesteld. Pascal, Senior Developer bij ICATT en verantwoordelijk voor DevSecOps (development, security, operations), is erg geschrokken van de resultaten. “De afgelopen tien jaar zijn er veel websites met DNN ontwikkeld. Er zijn echter steeds minder partijen die hierin echt gespecialiseerd zijn. De kennis over de hele linie is schaarser geworden. Dan kun je wachten op onderhoudsproblemen, dus ook op het gebied van security.”

Onduidelijkheid

Dat het CMS van bijna 90% van de onderzochte websites achterstallig onderhoud heeft kan verschillende redenen hebben. Pascal: “Om te beginnen is lang niet altijd duidelijk wie verantwoordelijk is voor het beheer. Nadat de bouw van een website is gedaan, beschouwt een klant het vaak als ‘klaar’ en is het initiële budget op. Intern gaat het bij de klant dan naar bijvoorbeeld IT-beheer. Die denkt dan dat het beheer al met de leverancier is geregeld.” Stem dit dus helder af.

Onderschat

Het belang van regelmatige updates, inclusief beveiligingsupdates, wordt nog steeds onderschat. Beveiliging is veel belangrijker geworden dan tien of vijf jaar geleden. Sommige website-eigenaars sluiten daarvoor onbewust de ogen. “Maar uiteindelijk zit niemand erop te wachten als een onbevoegde het CMS kan overnemen en gekke content kan plaatsen, of op een datalek waarbij persoonsgegevens openbaar worden gemaakt.” Maak aan de hand van cijfers en begrijpelijke voorbeelden de ernst van security duidelijk.

Ingewikkelde regelgeving

De invoer van de AVG is wat beheer betreft een vloek en een zegen. Enerzijds het heeft voor meer bewustzijn gezorgd op het vlak van internetbeveiliging en privacy. Aan de andere kant maakt de regelgeving het ook lastig voor mensen met minder IT-kennis, om te checken of hun CMS nog wel aan de eisen voldoet. “Voor ons en andere experts is dit gelukkig gesneden koek.”

Kosten en transparante afspraken

Het uitvoeren van updates en beheer kost natuurlijk ook tijd. “Klanten willen hier liever niet voor betalen, want je krijgt er meestal geen ‘sexy features’ voor terug.” Pas nadat je een klant goed hebt uitgelegd wat de risico’s zijn en welk werk je ervoor doet, groeit de bereidheid om te investeren in sitebeveiliging en beheer. Het is belangrijk om die werkzaamheden in een Service Level Agreement (SLA) vast te leggen die voor iedereen begrijpelijk is. Ook voor mensen die weinig IT- kennis hebben.

Wil jij weten hoe het met het beheer van jullie DNN-website gesteld is? Of heb je al het idee dat de beveiliging beter kan, bel ons dan voor vrijblijvend advies.  

*Bron: Sucuri 2019 Website Threat Research Report.