Hoe veilig is Umbraco eigenlijk?
Veiligheid is natuurlijk een belangrijke voorwaarde voor een website. Maar hoe zit dat dan met Umbraco, een open source CMS? Iedereen kan gewoon bij de broncode. Is dat dan wel veilig?
Veiligheid is ontzettend belangrijk. Je wilt natuurlijk niet dat je website, klantportaal of systeem gehackt wordt of dat (persoons)gegevens op straat komen te liggen. Daarom doen wij er altijd alles aan om onze digitale oplossingen zo goed mogelijk te beschermen. Maar we werken ook met Umbraco, een 'open source' CMS. Hoe zit het daarmee?
Is een open source CMS veilig?
Laten we eerst antwoord geven op de vraag of open source veilig is. In principe is open source niet minder veilig dan een closed source CMS, waarbij je de broncode kunt inzien. Dat iedereen bij de broncode kan levert namelijk ook een groot voordeel op. Het ‘twee-weten-meer-dan-één’ principe. Alleen daar zit wel een belangrijke voorwaarde aan. Namelijk dat ontwikkelaars ook daadwerkelijk aangeven dat ze issues ontdekt hebben in de broncode die de veiligheid in gevaar brengen. En daar komen we bij Umbraco CMS uit.
Umbraco Community
Umbraco heeft namelijk een grote en hechte community. Ontwikkelaars van over de hele wereld zetten zich in die community in om het CMS naar een hoger plan te tillen. Maar ben je er met een goedlachse Umbraco community die hier en daar wat bijdraagt? Nee, maar dat is bij Umbraco ook niet het geval.
Het CMS is gelukkig niet zomaar een hobbyprojectje van een groepje bevlogen ontwikkelaars. Umbraco CMS is door de jaren heen uitgegroeid tot een toonaangevend .NET CMS dat wordt doorontwikkeld door een commerciële onderneming. Het hoofdkantoor van Umbraco staat in Odense, Denemarken. Daar werken dagelijks meer 87 professionals aan de doorontwikkeling van het CMS.
Veiligheidsmaatregelen van Umbraco
Umbraco CMS is uitgerust met een aantal functionaliteiten om de veiligheid van het open source CMS te kunnen waarborgen:
- Ge-hashte wachtwoorden
- Ondersteuning voor HTTPS
- Uitgebreide voorwaarden voor wachtwoorden
- Ondersteuning voor Open Autorisatie (OAuth login)
- Mogelijkheid voor twee-staps-verificatie
- Automatisch uitloggen als de gebruiker inactief is
- Ingebouwde health checks
- Beveiligingsupdates
- Klaar voor SSL/HTTPS
Penetration tests
Umbraco zet ook externe beveiligingsexperts in om kwetsbaarheden in het CMS op te sporen. Dat gebeurt frequent en dat is ook nodig, omdat er vaak nieuwe versies uit komen van Umbraco. Deze testen noemen we penetration tests, oftewel pentests. Daarbij wordt eigenlijk gewoon actief geprobeerd om Umbraco te hacken. Deze pentest wordt twee keer per jaar uitgevoerd door een gespecialiseerd bedrijf.
De resultaten uit deze tests worden natuurlijk niet gepubliceerd. Eventuele punten met een hoog veiligheidsrisico worden met hoge prioriteit aangepakt en opgelost. Regelmatig worden er dan ook beveiligingsupdates uitgebracht.
Bij Novaware verwerken we deze updates vervolgens zo snel mogelijk voor alle klanten met een actieve SLA.
Training: Security in Umbraco
En als kers op de taart staat er zelfs een Umbraco Training in het teken van veiligheid. Tijdens deze training leren Umbraco-ontwikkelaars hoe ze het CMS het beste kunnen beveiligen om zo de website te beschermen tegen hackers en potentiële bedreigingen.
Wat doet Novaware voor extra veiligheid?
Binnen Novaware heeft het thema veiligheid altijd prioriteit. We zetten dan ook altijd een aantal stappen om onze producten nog beter te beveiligen. Zo zorgen we er bijvoorbeeld voor dat je alleen kunt inloggen vanaf vooraf bepaalde locaties, met bepaalde IP-adressen of met een juiste VPN-verbinding. Beveiligingspatches en updates voeren we zo snel mogelijk uit voor alle klanten met een actieve SLA. Daarnaast kunnen we zorgen voor encryptie van configuratiebestanden en voeren we regelmatig health checks uit voor onze producten.
Veiligheid voor websitebeheerders
Als beheerder van een website kun je ook een aantal dingen doen om beter beveiligd te zijn. Dit zijn onze tips voor beheerders:
- Hergebruik geen wachtwoorden
- Wijzig wachtwoorden regelmatig
- Maak gebruik van persoonlijke accounts
- Verwijder accounts van oude medewerkers zodat ze geen toegang meer hebben.