Joomla security en onderhoud

Onderhoud uitbesteden aan de specialist is het beste advies voor een goed functionerende, veilige en betrouwbare website voor u én uw bezoekers. In dit artikel lees je specifieke informatie over het beleid van Joomla (de JSST) met betrekking tot security en fix updates van het systeem.

Automatische update is nog niet standaard mogelijk met Joomla. Daar is een reden voor. Met de juiste kennis en inzicht wordt de Joomla extensie Watchful warm aanbevolen om tijd te besparen als er meerdere websites worden onderhouden. Veiligheid en risico's hebben niet alleen maar te maken met onderhoud. Webhosting, de soort extensies en functionaliteit van de website spelen mede een belangrijke rol.

Notificatie van de nieuwste versie

Beheerders van Joomla websites worden automatisch op de hoogte gesteld van een release (de notificatie per e-mail staat standaard geactiveerd op het niveau van super administrator). Behalve de security issues bevat de 6 wekelijkse release ook verbeteringen aan het systeem. De release van de nieuwste versie vindt in de regel op een dinsdag plaats.

JSST - Joomla Security Strike Team

Het JSST: Deze groep ontwikkelaars en beveiligingsexperts is belast met het verbeteren en beheren van de beveiliging voor Joomla. Alle meldingen met betrekking tot veiligheidsissues of kwetsbaarheden komen bij de JSST terecht om onderzocht en opgelost te worden. Er bestaan 4 niveaus of prioriteiten: Kritiek, Hoog, Matig en Laag. Oplossingen op niveau 2,3 en 4 worden volgens de releasecyclus uitgegeven (om de 6 weken).

Elk ontdekte kwetsbaarheid wordt beoordeeld op mogelijke risicoschade en gerangschikt in één van de onderstaande 4 niveaus. Het beleid inzake kwetsbaarheden en beveiligingsrelease, de richtlijnen:

  1. Kritisch: Kritieke kwetsbaarheden op hoog niveau. Er volgt na oplossing van het probleem een directe release. Komt zelden voor.
  2. Hoog: zoals SQL-injectie-aanvallen, lekken in core code waarmee onrechtmatige database bewerkingen worden uitgevoerd.
  3. Matig: zoals XSS-aanvallen, ACL-overtredingen (bewerken en toevoegen van inhoud waar het niet is toegestaan).
  4. Laag: ACL-problemen (tonen van afgeschermde inhoud). Volgens de releasecyclus of ze worden opgenomen in de volgende geplande onderhoudsrelease.

Waarom geen automatische update?

Joomla heeft niet gekozen voor een automatische update zoals de service van Wordpress. De reden: Het moet de keuze zijn van de eigenaar om onderhoud te (laten) verrichten. Automatische updates kunnen immers eventuele aanpassingen aan de core van Joomla overschrijven. Er bestaat weliswaar een mogelijkheid voor overrides in het joomla systeem, maar niet voor alle bestanden. Voor normale websites zonder aanpassingen aan de core kunnen bovendien ook extensies bestaan die niet overweg kunnen met een update. Die kans is weliswaar klein en zal ongetwijfeld bekend zijn bij degene die de website heeft gebouwd. Zodoende kan men voorzorgsmaatregelen treffen alvorens een onderhoudsrelease te activeren.

Onderhoud automatiseren met Watchfull:

Er bestaan Joomla extensies om alles van een website automatisch te laten back-uppen en updaten: Watchfull Pro in combinatie met Akeeba Pro. Dit is handig als er meerdere websites moeten worden onderhouden met diverse extensies. Het biedt mogelijkheden bepaalde updates uit te stellen of juist niet te doen. Een aanzienlijke tijdsbesparing, hoewel het instellen van alle parameters even tijd kost en inzicht absoluut noodzakelijk is.

Direct updaten of even wachten?

Het komt zelden voor dat er binnen 24 uur na een onderhoudsrelease er nog één volgt (men ontdekt direct een fout in de release). Toch is het een enkele keer voorgekomen. Het is vervelend om daarmee geconfronteerd te worden. Helemaal als men meerdere websites in beheer heeft. Daarom wacht ik altijd minimaal 24 uur voordat ik over ga op het updaten van alle websites met een onderhoudsafspraak. Daar kan van worden afgeweken op verzoek. De extra release wordt dan wel in rekening gebracht. Het is logisch: Joomla en iedereen die ervan afhankelijk is gebaat bij een release zonder fouten.

Geen onderhoud?

Er zijn website-eigenaren die het niet nodig vinden om onderhoud te verrichten, laat staan uit te besteden. Zij menen te besparen op onderhoudskosten. Er bestaan nog best veel verouderde Joomla websites. Deze vormen een gevaar voor zichzelf, voor bezoekers en op gedeelde servers vormen zij een potentieel gevaar voor andere websites. Mocht er ooit iets misgaan met zo'n verouderde website is de enige redding een recente back-up. De website in kwestie zal dan opnieuw moeten worden gemaakt afhankelijk van wat er nog te redden valt (beschikbare betrouwbare back-ups). In alle gevallen zijn de kosten vele malen hoger dan al het regelmatig periodiek onderhoud samen. Geen onderhoud is een groot risico op onnodig hoge kosten. De kwaliteit van de webhosting speelt hier ook een rol. Goedkope of beter gezegd gebrekkige webhosting is daarom af te raden.

Conclusie:

De Joomla organisatie (met name de groep JSST) draagt continu zorg voor een veilige website. De keuze voor het onderhoud ligt bij de eigenaar van de website. De update procedure is uiterst eenvoudig. Onderhoud en kwalitatieve webhosting is een voorwaarde voor een juist functionerende website én bovendien kostenbesparend. Onderhoud geheel automatiseren is mogelijk met extensies.

Tip voor doe-het-zelvers, DIY: Wacht altijd 24 uur met updaten, maar lees heel goed de 6-wekelijkse notificatie. Bij niveau 1, wat uiterst zelden voorkomt, is een directe update waartschijnlijk wel heel verstandig! Google dan voor alle zekerheid eerst op het nieuws, de Joomla.org website of versie die in de e-mail staat.

Meer over Joomla security en de JSST: https://developer.joomla.org/security.html


Aanvullende info: Bij Joomla onderhoud onderscheiden we updates en upgrades. Ook hoor je vaak de term migratie voorbij komen. Lees 'Wat is het verschil tussen een Joomla update, upgrade of migratie?'

 

joomla upgrade onderhoud