Beveiligen is voor specialisten
De afgelopen week kreeg ik het bericht dat de website van een bevriende schaakvereniging gehackt was. De website was via mij gehost en Netcraft heeft de website uit de lucht genomen aangezien er fishing activiteiten waren vanaf die website. Ze gebruikten een oude versie van Joomla! (1.5) en hadden nooit een upgrade naar een hogere versie gedaan. Bij Joomla! kun je dan wachten op het moment dat het mis zal gaan.
Naar aanleiding van dat bericht ben ik de website van mijn eigen schaakvereniging ook maar eens na gaan lopen. Daar stond nog een door mij in elkaar geknutseld inschrijfformulier dat we eens per jaar gebruiken voor een van onze toernooien. De hosting partij waar onze website staat heb ik gevraagd om eens nauwkeurig te kijken naar de veiligheid van dat inschrijfformulier en dit is wat ik terugkreeg:
We hebben de volgende wijzigingen aangebracht:
• bescherming tegen sql-injectie d.m.v. juiste escaping bij elke query
• bescherming tegen javascript-injectie d.m.v. filteren output
• verbergen mysql inloggegevens (deze waren te raadplegen via de html-code)
• juiste escaping bij het verzenden van de e-mail
• honeypot-controle toegevoegd tegen evt. spam (niet 100%, maar houdt de meeste "domme" spammers wel tegen)
• wachtwoord gezet op het beheer-gedeelte
• extra veld voor eten toegevoegd + totaalregel met de kosten (het extra werk daaraan bedroeg 30 min tot nog toe)
De codes van de andere jaren (2011 - 2017) bevatten soortgelijke kwetsbaarheden. Het lijkt me verstandig deze mappen te verwijderen, of ze ook achter een wachtwoord te zetten. Het systeem is immers zo sterk als de zwakste schakel ...
Ik denk dat je moet oppassen met zelfgemaakt materiaal. Als daar geen specialist naar heeft gekeken, dan kan het wel eens goed fout gaan een keer.