x
DWB Internet heet nu Webbureau Holland

Tips voor een veilig Drupal webproject

Drupal is een platform dat in aanleg een grote mate van veiligheid biedt voor uw website of webapplicatie, maar die veiligheid komt niet vanzelf. En hoewel de Drupal community zich doorlopend inspant om de veiligheid van Drupal op peil te houden en te verbeteren, is er voor u als site-eigenaar ook zelf een taak weggelegd in het zorgen voor een veilig webproject.

Update regelmatig

Of je zelf de Drupal core en module updates uitvoert of dit laat doen door een bureau, zorg dat dit regelmatig gebeurt! Het up-to-date houden van je Drupal installatie is één van de peilers onder een veilig webproject.

Hoe vaak updates nodig zijn voor een specifiek webproject verschilt van de aard en de complexiteit van de website of -applicatie en bijvoorbeeld de vraag in hoeverre bezoekers toegang hebben tot meer geavanceerde functionaliteit op de site.

Voor brochurewebsites adviseren we onze klanten meestal om tenminste 2x per jaar te updaten. Voor E-commerce websites en community platforms kan dit oplopen tot maandeljiks.

Volg de advisories van het Drupal Security Team

Het Drupal Security Team is een groep van ongeveer 40 personen die zich toelegt op het voortdurend analyseren en onderzoeken van de veiligheid van Drupal core en de contributed modules. Ongeveer eenmaal per maand brengen zij een serie advisories uit: publicaties van aangetroffen security issues en zwaktes en advies aan beheerders van Drupal websites.

Het is van groot belang om op de hoogte te blijven van de bevindingen en adviezen van het Security Team. Als u of de technisch beheerder dit zelf doet dan kunt u de security advisories hier vinden. Als u een bureau in opdracht heeft om het technisch beheer van uw webproject uit te voeren,  verzeker u er dan van dat zij de security advisories in de praktijk nauwlettend volgen en naleven.

Wees zorgvuldig bij het kiezen van een bureau

Niet elk bedrijf dat Drupal websites biedt heeft de expertise in huis om de veiligheid van uw webproject te kunnen garanderen. Er is een groot verschil in kennis en ervaring tussen een goed werkende Drupal module schrijven, en een goed werkende Drupal module schrijven die ook nog veilig is.

Hierover zal je dus met het bureau in gesprek moeten. Belangrijke zaken daarbij kunnen zijn:

  • Aantoonbare ervaring met het schrijven van Drupal modules
    Heeft het bureau contributed modules gepubliceerd op drupal.org? En hebben deze een substantiele user base? Wordt vlot en adequaat gereageerd op security -problemen in de issue cue van de betreffende modules?
      

  • Kennis van OS- en webserver configuratie en -veiligheid
    Drupal code waaruit uw website bestaat wordt door de webserver aan het besturingssysteem van de server gegeven, die het op zijn beurt doorgeeft aan de PHP-engine, die de code tenslotte uitvoert. Het zal duidelijk zijn dat een Drupal developer met een brede kennis van webserver, besturingssysteem en PHP meer kans biedt op een veilig webproject dan een developer die dat niet heeft.
      

  • En in het algemeen…
    Hoe werkt het bureau? Heeft men duidelijk omschreven QA richtlijnen? Voert men security assessments uit of laat men deze uitvoeren? Welk deel van het budget wordt door het bureau besteed aan security? Welke garanties worden geboden?

Dit zijn enkele algemene vragen - het zal duidelijk zijn dat niet elke vraag of vereiste voor ieder webproject relevant is.

Heb oog voor de hostingomgeving

De veiligheid van een Drupal webproject is zo betrouwbaar als de zwakste schakel in het geheel.

Dat wil zeggen: al maakt u gebruik van een zeer veilige Drupal installatie, geconfigureerd door ervaren Drupal ontwikkelaars en steeds voorzien van actuele  updates, maar u host de site op een shared hosting account van 7 euro per maand, dan is wellicht de kans op narigheid nog steeds aanwezig.

Een veilige Drupal website hosten op een onveilige webserver is zoiets als je voordeur op slot doen terwijl de achterdeur wijd open staat - het helpt amper.

Dit is geen aanbeveling om direct met de duurste hostingpartij in zee te gaan, want prijs zegt tenslotte niet alles, maar wel om je terdege te (laten) informeren over de manier waarop een beoogde webhoster de zaken heeft geregeld.

Ken je risicoprofiel

Zoals gezegd is Drupal een platform dat in aanleg een hoge mate van veiligheid biedt. Dat neemt niet weg dat er situaties te bedenken zijn waarin deze out-of-the-box veiligheidswaarborgen op zich niet voldoende security bieden.

De vraag welke securitymaatregelen nodig zijn om je webproject veilig te maken en te houden, wordt mede bepaald door het risicoprofiel van je site of applicatie. Het mag duidelijk zijn dat de brochurewebsite van een lokaal hoveniersbedrijf in het algemeen  minder risico loopt op acties van kwaadwillenden dan bijvoorbeeld de site van een nationale politieke partij of bekend internationaal merk.

Een hoog risicoprofiel kan bijvoorbeeld gelden voor websites die:

  • Grote bekendheid hebben

  • Controversiele (politieke) standpunten naar buiten brengen

  • Data herbergen die geldwaarde vertegenwoordigen (creditcardgegevens, persoonsinformatie)

Hoe hoger het risicoprofiel van een webproject hoe intensiever de maatregelen die nodig zijn om de site of applicatie te beschermen tegen kwaadwillenden. De normale veiligheidsmaatregelen zouden tekort kunnen schieten wanneer je van mening bent dat je website of applicatie in de categorie ‘hoog risico’ valt. In dat geval is het aan te raden om de beveiliging van de site niet zelf ter hand te nemen maar advies in te winnen van een in internet-security gespecialiseerd bedrijf.