Ongeveer de helft van de gebruikers van contentmanagementsystemen (CMS) is ongerust over de security van hun systeem.

Dat blijkt uit onderzoek van Storyblok. De CMS-ontwikkelaar ondervroeg honderden CMS-gebruikers in de VS en Europa. 80 procent van de Nederlandse ondervraagden vindt security een prioriteit bij de keuze voor een nieuwe contentmanagementsysteem. Het laatste mag geen verrassing heten. Kwetsbare contentmanagementsystemen zijn een buitenkans voor cybercriminelen.

Securityprobleem

WordPress is verreweg het populairste CMS. Het open-source platform nodigt duizenden ontwikkelaars uit om applicaties te ontwikkelen en aan te bieden. Zoekt een organisatie een specifieke stijl voor een website, dan is daar waarschijnlijk een third-party app voor beschikbaar. Code wordt massaal door gebruikers en ontwikkelaars gedeeld en uitgevoerd. Kwetsbaarheden en lekken zijn veelvoorkomend.

Op 1 februari bleken meer dan 600.000 WordPress websites vatbaar voor remote code execution. Een maand later leerden we dat 29 procent van alle kwetsbaarheden in third-party WordPress apps niet wordt gepatcht. De survey van Storyblok wijst uit dat ruim de helft van de CMS-gebruikers minstens een keer per maand tegen een securityprobleem aanlopen. Bovendien zegt 48 procent twee tot vier keer per maand securityupdates door te voeren.

Het laatste kan behoorlijk wat tijd innemen. In het geval van WordPress ontstaan de meeste kwetsbaarheden in third-party apps, ook wel bekend als plugins. Het systeem zelf is open-source, waardoor een officiële patch management-oplossing ontbreekt. Administrators zijn op zichzelf aangewezen. Zij hebben regelmatig te maken met tientallen tot honderden plugins. Mocht een plugin kwetsbaar blijken, dan is er geen garantie dat er een patch vrijkomt. Komt de patch eraan, dan kan het even duren. Developers werken regelmatig alleen, of met enkele collega’s.

Storyblok ISO 27001

Onderaan de streep is de security van WordPress geen kinderspel. Dat geldt niet voor elk CMS-systeem. Er zijn genoeg platforms die door centrale teams en grote organisaties worden ontwikkeld. Het CMS-systeem van Storyblok is een voorbeeld. Eind maart ontving het platform een ISO 27001-certificering. Het certificaat wordt toebedeeld aan developers die hun infrastructuur auditen, software testen en data beveiligen.

De eerdergenoemde survey wijst uit dat de meeste CMS-gebruikers waarde hechten aan securitycertificaten. Het merendeel vindt elk certificaat even belangrijk; een kleine groep werkt het liefste met ISO-gecertificeerde technologie.