maandag 24 november 2014

Joomla, Drupal, Magento en Wordpress. Open source als bedrijfswebsite? Bezint eer ge begint.

2014 stond in het teken van de veiligheid van bedrijfswebsites. Recent onderzoek liet zien dat duizenden (bedrijfs)websites onveilig zijn. Het gaat hier om zogenaamde bekende open source software waarmee gratis websites kunnen worden ontwikkeld. Bekende open source software zoals Joomla, Drupal, Magento en Wordpress. Een blogartikel voor ondernemers, maar ook voor reclamebureaus en anderen die werken met open source software om bedrijfswebsites te maken. Waarom het werken met Joomla, Drupal, Magento en Wordpress gevaren met zich meebrengt en zelfs hele bedrijven plat kunnen leggen. En de gevaren alleen maar toe gaan nemen. 

Nog steeds kiezen ondernemers voor een 'goedkope' bedrijfswebsite. Reclamebureaus of degene die het bedrijfslogo heeft ontwikkeld, kunnen 'ook wel zorgen' voor een bedrijfswebsite. Het lijkt vaak een voordelige en mooie oplossing, maar echte internetprofessionals werken er niet mee als er een bedrijfswebsite ontwikkeld moet worden. Sterker nog, dit soort programma's zijn niet op de servers van internetprofessionals terug te vinden. De reden: Een te groot risico als het gaat om de veiligheid.

Wat is open source?
Open source software is bepaalde software wat al helemaal is voorbereid. Deze software biedt bijvoorbeeld al deels ingerichte websites die 'kant-en-klaar' zijn. De samenwerkende programmeurs hebben deze software vrijgegeven. De zogenaamde broncode (de brontekst van het programma) is door iedereen te gebruiken en kan vrij worden gekopieerd, veranderd en verspreid. Veel reclamebureaus en anderen die niet echt de professionele programmeerkennis hebben maken gebruik van deze open source systemen om relatief snel en goedkoop een website te maken in opdracht van bedrijven. Met relatief eenvoudige werkzaamheden kan snel en goedkoop een bedrijfswebsite worden ontwikkeld. Open source software zoals Joomla, Wordpress en Drupal bieden ook nog eens een grote variëteit aan standaard templates voor het design. Kortom: Snel, goedkoop en overvloed aan voorbeeldwebsites om uit te kiezen.

En waarom dan toch geen Open Source kiezen?
Eigenlijk is het heel simpel. De broncode is het belangrijkste wat er is. Het is te vergelijken met een pincode. Net als een pincode moet ook de broncode worden beschermd. En dat is onmogelijk als de bedrijfswebsite is gebouwd met een broncode die al door tienduizenden anderen wordt gebruikt en gedeeld. Een standaard broncode, en dus een bedrijfswebsite die is gemaakt met een dergelijke broncode, is voer voor hackers en andere kwaadwillenden. Het is voor kwaadwilligen relatief eenvoudig om een ingang te vinden in de bedrijfswebsite. Het gevolg kan enorm zijn voor een bedrijf. Via de bedrijfswebsite kunnen malware en virussen toegang krijgen tot de bedrijfsomgeving. Niet ondenkbaar is dat de gehele online omgeving van een bedrijf via de bedrijfswebsite volledig wordt overgenomen. Zonder dat iemand wat merkt.

Maar ik heb toch mijn Joomla, Drupal of Wordpress bedrijfswebsite van een update laten voorzien?  
Dat is vaak genoeg niet voldoende. Het werken met een open source website kent drie gevaren die door niet-internetprofessionals niet of nauwelijks kunnen worden voorkomen:
1. Om de bedrijfswebsite blijvend te laten werken zijn updates nodig. De software van dit soort bedrijfswebsites moeten periodiek voorzien worden van een nieuwe versie. Eventuele fouten in de broncode zijn bij een update vaak hersteld. Als dit niet wordt gedaan, dan staat letterlijk de poort open van de bedrijfswebsite. 
2. De broncode is vaak niet voldoende om een bedrijfswebsite werkend te krijgen. Aan de broncode worden vaak zogenaamde plugins toegevoegd. Het kan zijn dat de ontwikkelaar van deze plugin niet verder investeert in de betreffende plugin, die een deel van de bedrijfswebsite werkend maakt. Vaak genoeg komt het ook voor dat de ontwikkelaar van deze plugin gewoon is gestopt. Oude plugins die er voorzorgen dat de bedrijfswebsite niet meer werkt. Een zeer groot risico voor de veiligheid van de bedrijfswebsite.
3. Bij een update komen er ook allerlei andere bestanden mee. Bestanden die gekoppeld zijn aan de plugin. En dit is wellicht nog wel het grootste gevaar. In deze bestanden kunnen malware en virussen zitten. Specifieke programmeerkennis is nodig om deze gevaarlijke bestanden te herkennen en te elimineren.

Open source is toch goedkoper dan een maatwerk website? 
Nee. Zeker niet. Het is zeker niet zo dat met een open source website van Joomla, Wordpress of Drupal men voor een goedkope oplossing heeft gekozen. De basis bedrijfswebsite opzetten is inderdaad snel en goedkoop, maar om de bedrijfswebsite helemaal geoptimaliseerd, goed werkend en veilig te maken is zeker niet snel en goedkoop. Hier gaan veel uren in zitten. Nog maar niet te spreken van de hersteluren die nodig zijn om de bedrijfswebsite weer werkend te maken als er geen ondersteuning of updates zijn uitgevoerd. En wat te denken van het herstellen van het bedrijfsnetwerk als er malware of een virus is binnengeslopen.

Bij een maatwerk website door een internetprofessional zijn deze risico's al van te voren geïnventariseerd en de broncode wijkt af van de standaardbroncodes. Ook eventuele uitbreidingen van de bedrijfswebsite worden op maatwerkniveau ontwikkeld. Door deze werkwijze is een maatwerk bedrijfswebsite zeker niet duurder dan een bedrijfswebsite die is ontwikkeld met Joomla, Drupal of Wordpress.

Tips voor 2015:
- onderzoek of uw bedrijfswebsite is ontwikkeld met een open source systeem zoals Joomla, Wordpress, Drupal of Magento
- vraag uw reclamebureau of ontwikkelaar welke preventieve maatregelen zijn genomen zoals updates voor nieuwe versies van de software
- laat onderzoeken of uw open source bedrijfswebsite direct staat gekoppeld aan de bedrijfsserver. Zo ja, zorg er voor dat de open source software wordt ontkoppeld van uw bedrijfsserver.
- vraag eens een offerte op voor de rebuilt van de bedrijfswebsite bij een professioneel internetbedrijf en laat u voorlichten over de werking van het internet.

Conclusie: Het is aan de ondernemer, het reclamebureau en anderen hoe serieus men omgaat met de bedrijfswebsite. Open source software is niet echt een platform om een professionele bedrijfswebsite te creëren. De veiligheidsrisico's zijn aanzienlijk en niet te onderschatten. Kleine en grote ondernemingen zullen in 2015 echt een stap moeten gaan maken naar professioneel online ondernemen. 

Advies: De bedrijfswebsite is eventueel op veiligheid te toetsen via www.iswot.nl. Via een uitgebreide rapportage wordt de bedrijfswebsite in beeld gebracht op sterke en zwakke kanten, alsmede kansen en bedreigingen.

Geen opmerkingen:

Een reactie plaatsen