GWCH Website goed beveiligd!

Op verzoek van bestuur is de website beoordeeld door een extern deskundige.
Hier de resultaten. Lees ook de presentatie website beveiliging
Mijn opmerkingen lees je op deze manier!  Hugo

Geachte heer Perfors, beste Hugo,

Met interesse heb ik gekeken naar de informatie en de presentaties over de nieuwe website van de vereniging die je me stuurde. De vraag die ik vooraf kreeg was ‘Is de nieuwe website voldoende beveiligd?’. Zoals je weet is dat niet een vraag die met een eenvoudig ja of nee is te beantwoorden en zullen de verschillende aspecten aan systeem, inrichting, beheer en gebruik moeten worden bekeken.

Ik heb geen diepgaand onderzoek kunnen uitvoeren, maar op basis van de aangeleverde gegevens kan best het een en ander worden gezegd.

1- Systeem

Er wordt gebruik gemaakt van CMS Joomla. In elk CMS zitten zwakheden die kunnen worden misbruikt door hackers. Belangrijk is om steeds bij te werken naar de laatste versie1975 1979 Embleem en goed de release notes na te zien op security issues. Zo te zien gebeurt dat. Het is me onduidelijk of er een auto-update-mogelijkheid is. Dat kan worden overwogen om te voorkomen dat het upgraden wordt vergeten of door bijv. afwezigheid van de beheerder niet tijdig wordt uitgevoerd.  
"Er is geen Auto-update mogelijkheid"

Plugins en add-ons verhogen het risico op inbraak. Belangrijk is niet alleen om deze ook steeds bij te werken naar de laatste versies, maar vooral ook om in de gaten te houden of de ontwikkeling van een third party plugin niet stil ligt. Is dat het geval, dan zijn er geen updates meer maar kunnen wel zwakheden bestaan of ontstaan. Uit de documentatie blijkt niet dat er uitgebreid gebruik wordt gemaakt van plugins/addons dus het risico acht ik beperkt.
"We gebruiken zeker Plugins en add-ons op deze website, zoals de clubwinkel, de kalender, de mogelijkheid tot downloaden van pdf documenten en Digi Wings. Ook enkele technisch benodigde plugins voor het maken van nieuws- en evenementen."

Systeemversies van OS, Apache en scriptingtaal zoals PHP zijn niet bekend. Hiervoor geldt hetzelfde als voor het CMS: bijwerken en in elk geval de security issues in de gaten houden en zo nodig maatregelen nemen (patchen, upgraden).
"OS, apache en PHP worden onderhouden door de Host en zijn niet te beinvloeden door de Club of Webmaster. Een goede host wel"

Het is verder te overwegen de MySQL-database van Joomla op een andere server te laten draaien dan de webserver (als dat niet al zo is). Dit verkleint het risico van ongeoorloofde benadering van de database van buitenaf.
"De MYSQL-database is bij de host gescheiden van de webserver"

Of er een firewall is en een intrusion detection system is niet bekend. Essentie is: alle niet benodigde poorten en services dichtzetten en goed monitoren op de openstaande poorten. Ik heb goede ervaring met ConfigServer Security & Firewall. Die blokkeert IP’s bij herhaalde inlogpogingen en kan ook gemakkelijk sowieso bepaalde landen blokkeren (het scheelt een hoop als Rusland en het Midden-Oosten worden geblokkeerd en voor de vereniging levert dat waarschijnlijk geen belemmeringen op).
"Daar wordt nog over nagedacht" 

2- Toegang

de rechten en de beperkte toegang zit het wel goed. Gebruikers hebben niet meer rechten dan nodig, de beheerderstoegang is voldoende beveiligd en er zijn maatregelen honda32genomen zodat slechts vanaf een beperkt aantal IP-adressen toegang is tot het backend.
"Ik kan dus niet bij één van de leden thuis op de backend van de website komen. Alleen via mijn eigen netwerk."

Het verkeer tussen de website en de browsers is beveiligd met een SSL-certificaat. Voor het publieke (informatie)deel van de website is dat niet per se nodig, maar het is natuurlijk het makkelijkst en het veiligst dat het gehele domein via https werkt. De encryptie van het certificaat is voldoende sterk (2048+). Het certificaat staat niet op naam van de vereniging maar op naam van de uitgever. Dat doet niets af aan de veiligheid, maar kan de websitebezoeker in principe nog twijfels geven over de authenticiteit. Ik adviseer echter hierin verder niet te investeren (certificaat op eigen naam is veel duurder dan het huidige certificaat).
"HTTPS  en SSL is ook nodig voor het versleuteld verzenden van je persoonlijke gegevens, bijv via mail, naar de ledenadminsitratie, bestuur of stafleden." 

specials4Er is voldoende aandacht voor de procedurele kant (gebruikersgedrag). Zo wordt gewaarschuwd dat het gebruik van andermans login kan leiden tot blokkering en is er een sterk wachtwoordbeleid. Wordt een sterk wachtwoord ook afgedwongen of is het alleen een advies aan de leden? Mooi zou zijn als het wordt afgedwongen door het systeem.
"Wachtwoordbeleid wordt afgedwongen door het systeem."

Hoe veilig zijn de systemen waarop de websitebeheerder werkt? Het is goed om openheid te geven over de eigen situatie/netwerk/gebruikte provider etc en daaruit een norm te stellen die kan worden opgelegd aan toekomstige beheerders. Hoe en waar bewaart de beheerder zijn logingegevens? Dat soort dingen.
"Ik werk op Windows10, Netwerk is beveiligd met twee routers, beide met gewijzigde wachtwoorden. Mijn Provider is Vodafone. Ik bewaar de login gegevens in Keepass. Gegevens worden separaat bewaard op een NAS."GL1000 1975


Two-factorlogin is populair aan het worden. Het lijkt me wat zwaar voor de leden van deze vereniging, maar op termijn (wanneer mensen hieraan gewend raken omdat het meer en meer gebruikt wordt) kan het worden overwogen.
"We zijn er over aan het nadenken. De mogelijkheid is in website ingebouwd maar niet geactiveerd. Echter een Goldwinger is instaat om zijn motor compleet te de- en monteren. Achter een toetsenbord dan spelen andere factoren een grote rol!" 

3- Privacy

De e-mailadressen en overige persoonlijke gegevens van de leden zijn voldoende afgeschermd en beschermd. Het is goed om kritisch te kijken naar wat de leden van elkaar kunnen zien als ze ingelogd zijn. Stel dat een van de leden niet te vertrouwen is, welke schade kan ontstaan als hij inlogt en rond gaat neuzen? Welke informatie ziet hij en wat zou hij ermee kunnen doen? Dit scenario eens doorlopen geeft vast hier en daar nog wat nuttige aanscherping.  
"Alleen bestuurs- en enkele stafleden kunnen (delen) van leden gevens inzien. Dat zijn de redactie, leden adminstrateur en de regio-co's.  Het bestuur werkt aan een integriteits verklaring voor bestuur- en stafleden."

4- Backupgl 05 1500

Ziet er ook goed uit. Belangrijk is vast te stellen waarvoor de backup is: is die voor herstel na crashes, voor het terughalen van per abuis verwijderde data of voor een fall-back om downtime te voorkomen? Ik vermoed het eerste en dat lijkt me ook een prima keuze. Maar het is belangrijk hier duidelijk over te zijn om te voorkomen dat de verwachtingen niet kloppen met wat geboden wordt na een crash of stroomuitval.
"Backups worden wekelijks geautomatiseerd gemaakt en overgebracht naar een separate server bij de webmaster. Ze worden vooral gemaakt om bij inbraak snel weer een backup terug te kunnen zetten waardoor bij de inbraak gewijzigde gegevens worden teruggezet naar een vorige versie zonder wijzigingen."

5- Conclusie

Er is voldoende aandacht voor de veiligheidsaspecten van de website. Kennis lijkt ruim voldoende aanwezig voor het maken van de juiste afwegingen en het maken van degl 03 block keuzes. Het geheel geeft de indruk dat er beheerst en verstandig wordt omgegaan met het vraagstuk. Ik zie geen risico’s door de voorgestelde ingebruikname van de website. Kleine disclaimer: ik heb e.e.a. beoordeeld op basis van de twee presentaties en een korte blik op de (huidige versie) van de nieuwe website.

Als er nog vragen zijn hoor ik het graag.
Veel succes met de verdere implementatie!

Op verzoek auteur geanonimiseerd.
Anywise