Hoe veilig is jouw Drupal-platform vandaag?
Hoe veilig is jouw Drupal-platform vandaag?
Veel organisaties worstelen met het aantoonbaar veilig houden van hun digitale platformen. Drupal heeft een volwassen security-proces en publiceert advisories, maar je risico zit meestal in de uitvoering: hoe je updates doorvoert, hoe je modules en configuratie beheert en hoe je omgeving is ingericht. Op deze pagina lees je waar het vaak misgaat en welke maatregelen helpen om je Drupal-platform aantoonbaar veiliger te maken.
Veiligheid Drupal CMS websites
Hoe veilig is Drupal als CMS?
Drupal is een volwassen open-source CMS dat draait op meer dan 1 miljoen websites en applicaties. Security krijgt binnen Drupal hoge prioriteit. De core is stevig en veilig, en je kunt het platform uitbreiden met duizenden modules uit de Drupal community. Bij CMS’en zitten beveiligingslekken vaker in modules en themes dan in de core. Drupal pakt dat risico aan met strakke richtlijnen, controle en een helder securityproces.
Sterke community en veilige code als standaard
De Drupal community telt zo’n 35.000 actieve developers, waaronder het team van Atom. Drupal schrijft veilige code actief voor via documentatie en best practices. Omdat veel developers meekijken, worden kwetsbaarheden vaak snel gevonden en opgelost, voordat iemand er misbruik van maakt.
Meldingen, fixes en advisories via het Drupal Security Team
Kwetsbaarheden komen terecht bij het Drupal Security Team. Dit team behandelt meldingen, helpt modulebeheerders en stuurt op het oplossen van risico’s. Pas na review en testen publiceert Drupal een nieuwe core- of moduleversie via drupal.org. Het Security Team publiceert ook een security advisory met uitleg en concrete acties. Die open communicatie en het vaste proces maken Drupal als geheel sterk en betrouwbaar.
Als beheerder moet je wel blijven handelen. Voer kritieke patches direct door. Plan daarnaast vaste update-momenten voor minder urgente updates, bij voorkeur maandelijks, zodat je website structureel veilig blijft.
Drupal security is vaak geen technisch probleem, maar een organisatieprobleem
Drupal heeft een volwassen security-proces en publiceert advisories zodra er kwetsbaarheden worden gevonden. Wat we in de praktijk zien is dat de security problemen niet bij Drupal ontstaan maar vooral in de laag eromheen: hoe je je platform beheert en hoe snel je updates doorvoert.
Dit zijn de plekken waar we het vaak zien misgaan:
- Updates blijven liggen. Security releases komen los van jouw releaseplanning. Als patching geen vast ritme en owner heeft, bouw je achterstand op.
- Modules en maatwerk groeien door. Extra functionaliteit is vaak nodig, maar elke module en dependency vraagt beheer, monitoring en updates.
- Configuratie en rechten staan te ruim. Denk aan rollen/rechten, inlogbeveiliging en input formats. Dat zijn veelvoorkomende bronnen van onnodig risico.
- Omgeving en deployment zijn niet mee-ontworpen voor security. Logging, back-ups, toegangsbeheer en releaseprocedures bepalen mede hoe snel je kunt reageren.
Het resultaat: je platform voelt “prima”, tot er een advisory verschijnt of een auditvraag komt en je niet snel kunt aantonen wat je status is en wat je proces is.
Hoe Atom naar Drupal security kijkt
Drupal security werkt pas goed als je het kunt uitvoeren en aantonen. Daarom kijken we niet alleen naar “is Drupal veilig”, maar naar wat jij nodig hebt om structureel in control te zijn: updates op tijd, modulekeuzes beheersbaar en een omgeving waarin je snel kunt reageren.
Wat dat in de praktijk betekent:
- Aantoonbaar proces: we werken met een ISO 27001-gecertificeerd ISMS, zodat beleid, processen en controles niet afhankelijk zijn van “hoe iemand het doet”. 
- Veilige bouw- en wijzigingsflow: code reviews volgens het vier-ogenprincipe, Drupal coding/practice standards en maximale statische analyse (PHPStan) om risico’s vroeg te vangen. 
- Beheersbare infrastructuur: waar hosting onderdeel is, werken we met een gecertificeerde infrastructuur met o.a. dagelijkse versleutelde back-ups, anti-DDoS en datacenters in Nederland (AVG). 
- Grip op securitystatus: met Atom STM signaleren we o.a. bijna verlopen SSL-certificaten en (security) updates die klaarstaan, zodat je sneller kunt sturen op governance en audits. 
- Security checks als standaard: OWASP gebruiken we als leidraad in ontwerp, ontwikkeling en tests. Waar het risicoprofiel dat vraagt, plannen we periodiek pentests en lossen bevindingen gericht op impact op.
Kort gezegd: we helpen je Drupal security organiseren als een vast onderdeel van development en beheer, zodat je niet hoeft te gokken wanneer er een advisory verschijnt of een auditvraag komt
Dit kun je doen om je Drupal-website nog veiliger te maken
Als je meer zekerheid wilt over de veiligheid van je Drupal website of applicatie, helpen de stappen hieronder. Je hoeft niet alles te doen. Begin met de basis en breid uit als je risico of compliance dat vraagt.
Startpunt dat altijd geldt
Houd Drupal core én alle contributed modules up-to-date. Dit is de meest impactvolle maatregel in vrijwel elke omgeving.
Stap 1: Basis op orde maken
1. Communicatie over HTTPS (SSL certificaat)
Alle data die over het HTTP protocol worden verzonden kunnen door derden uitgelezen worden. Deze data kunnen gevoelige informatie bevatten, zoals logingegevens en sessie informatie. Met de installatie van een SSL certificaat worden data ge-encrypt verzonden over het HTTPS protocol. Elke website zou van een SSL certificaat voorzien moeten zijn. Ook Google hecht waarde aan veilige verbindingen en laat weten dat het hebben van een SSL certificaat meegenomen wordt in de ranking van websites binnen de zoekmachine.
Stap 2: Drupal-instellingen aanscherpen
User #1:
Het gebruikersaccount dat wordt aangemaakt tijdens de installatie van Drupal is bijzonder omdat het, standaard, volledige rechten heeft vergelijkbaar met een root account. Het niet juist beveiligen van dit account kan tot problemen leiden. Vanaf Drupal 7 is de user #1 gebruiker niet nodig voor bijvoorbeeld het uitvoeren van administratieve taken als het runnen van update.php. Dit was in Drupal 6 nog wel het geval. Na het configureren van een administrator account kan de user #1 gebruiker dus volledig uitgeschakeld worden, dit is ons advies.
Tekst formats:
Drupal komt met een aantal sets aan mogelijke input formats, die de gebruikers van de website de mogelijkheid biedt HTML te gebruiken als invoer, bijvoorbeeld tijdens het plaatsen van een reactie. De standaardconfiguratie en rechten zijn veilig, maar aanpassingen hieraan, door bijvoorbeeld extra HTML tags toe te staan, kunnen ervoor zorgen dat er ongepaste afbeeldingen en kwaadaardige JavaScript code toegevoegd worden. Hiermee kunnen de website gedefacet en wachtwoorden aangepast worden.
Gebruikersrechten:
Drupal beschikt over een geavanceerd en uitgebreid rechtensysteem. Dit is een van de grote voordelen van Drupal ten opzichte van andere CMS systemen zoals Wordpress, Joomla en Typo3, maar brengt ook gevaar met zich mee. Een gebruiker met rechten om accounts aan te maken kan ook het wachtwoord van administrator accounts aanpassen, waaronder die van user #1. Het is dus van groot belang deze rol alleen aan vertrouwde gebruikers toe te kennen en de accounts te beveiligen tegen Brute forcing. De module login security en password policy kunnen hiermee helpen.
Stap 3: Extra modules gebruiken
Gebruik extra modules als aanvulling. Ze vervangen geen updateproces en geen goede rechtenstructuur.
Security Kit
Drupal security kit biedt diverse opties om de veiligheid van Drupal te verstevigen en het risico van exploratie van bekende kwetsbaarheden in webapplicaties, zoals Cross-site Scripting, Cross-site Request forgery en Clickjacking, te verminderen.
Password policy
Het Drupal Password maakt het mogelijk om als administrator de minimale eisen voor een wachtwoord te bepalen. Daarnaast biedt de module ook mogelijkheden om wachtwoorden om de zoveel tijd te laten verlopen, zodat de gebruiker verplicht is een nieuw wachtwoord in te stellen.
Login security of Flood control
Ook een sterk wachtwoord kan door middel van brute forcing worden gekraakt. De modules Login security en Flood control helpen dit te voorkomen door het aantal login pogingen binnen een bepaalde tijd te beperken en IP’s volledige toegang te ontzeggen.
Paranoia
De Paranoia module voor Drupal zorgt ervoor dat er geen aanpassingen kunnen worden gedaan aan de user #1. Dit is belangrijk wanneer het user #1 account niet uitgeschakeld is en er toegang tot Drupal wordt verkregen via een ander account dat gebruikers kunnen aanmaken. Deze module kan uiteraard niet via de module pagina worden uitgeschakeld, hiervoor moet je toegang hebben tot de database.
MD5 check
Bij veel hacks wordt er kwaadaardige code geplaatst in module bestanden. De MD5 check module genereert een MD5 checksum en controleert daarmee op veranderingen.
Two-factor Authentication (2FA)
De Drupal module Two-Factor Authentication voegt een extra stap toe aan het login proces. Naast een gebruikersnaam en wachtwoord is er bijvoorbeeld ook een code nodig die wordt verzonden naar, of gegenereerd door, bijvoorbeeld een mobiel apparaat. Deze extra stap geeft meer de zekerheid dat de gebruiker, die probeert in te loggen, ook daadwerkelijk die gebruiker is.
Coder
Coder is eigenlijk geen module maar een command line tool. Coder controleert de geschreven code op het werken volgens coding standaarden en best practices.
Security review
De Drupal security review module geeft inzicht in de beveiligingsrisico’s van de webapplicatie. Hierbij wordt onder andere gekeken naar de configuratie van de gebruikersrechten, bestandsrechten op de server en text format instellingen.
Stap 4: Hosting omgeving aanpakken
Naast het goed inrichten en onderhouden van een Drupal website speelt ook de hosting nog een belangrijke rol in de veiligheid van de omgeving. Ook op dit gebied kunnen er veel extra maatregelen worden genomen om meer zekerheid op een veilige omgeving te geven. Atom levert zelf geen hosting, maar kan wel adviseren in de keuze voor een partij die aansluit bij de wensen en eisen.
Security/audit penetratie testen
Wanneer veiligheid de nummer één prioriteit is voor je bedrijf, kan je er ook voor kiezen om maatwerk code, bijvoorbeeld door Atom geschreven, door een externe partij te laten controleren. Een dergelijk partij zal deels handmatig en gebruikmakend van gespecialiseerde software de code en computersystemen testen op kwetsbaarheden.
Samenvatting
Drupal heeft haar zaakjes met betrekking tot veiligheid goed op orde. Er zijn goede documentatie en richtlijnen aanwezig om voort te borduren op de stevige Drupal core. Bovenstaande stappen zijn dan ook zeker niet in alle situaties nodig. Wanneer een specifieke casus daarom vraagt biedt Drupal meer dan genoeg mogelijkheden om weerstand te bieden tegen aanvallen van hackers.
Als ook dat niet volstaat kunnen er vanaf de hardware/server kant nog extra stappen worden ondernomen.
Eén onderdeel dat voor elke omgeving van groot belang is, is te zorgen dat alle modules van zowel de Drupal core als contribuerende modules tijdig worden bijgewerkt.
Verder lezen
Upgrade of migratie nodig?
Wat Drupal 11 betekent voor security en onderhoud.
→ Lees meer over Drupal 11
Grip op beheer en updates?
Zo organiseren we Drupal onderhoud en patching.
→ Bekijk beheer en support
Nieuw platform bouwen?
Waar je op moet letten bij een veilige Drupal-architectuur.
→ Drupal website bouwen
Is Drupal veilig genoeg voor grote organisaties?
Drupal heeft een volwassen security-proces en publiceert advisories en security releases. In de praktijk hangt je veiligheidsniveau vooral af van hoe je updates, modules, configuratie en beheer organiseert.
Wat is de belangrijkste maatregel om een Drupal-site veilig te houden?
Houd Drupal core en alle contributed modules tijdig up-to-date. Security patches leveren weinig op als je ze niet snel kunt testen en uitrollen.
We draaien nog op Drupal 7. Wat betekent dat voor security?
Drupal 7 krijgt geen security updates meer vanuit de community. Daarmee loop je structureel risico. Maak een upgrade- of migratieplan en bepaal welke onderdelen je eerst moet vervangen (maatwerk, modules, integraties).
Zijn extra security modules noodzakelijk?
Niet altijd. Ze helpen vooral als aanvulling op goed updatebeheer en strakke rechten. Denk aan Security Kit (hardening), 2FA, Password Policy, Login Security/Flood Control en Security Review. Kies op basis van risico en gebruik.
Is hosting ook onderdeel van Drupal security?
Ja. Hosting bepaalt onder andere OS/PHP updates, back-ups, logging/monitoring, toegangsbeheer en netwerkmaatregelen. Ook met een goed ingerichte Drupal-applicatie kun je risico lopen als de omgeving niet is geborgd.
