CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

CMS-rådgiver: Sådan løser du problemet med add-ons

Langt de fleste sårbarheder i populære CMS'er som Drupal, Joomla og Wordpress ligger i selve tilføjelses-modulerne. Se her, hvordan du griber den situation an.

26. juni 2013 kl. 12.54
Kim Stensdal Kim Stensdal Teknologiredaktør

Som Computerworld skrev mandag, er det de forskellige add-ons, der udgør den største risiko i CMS'er - ikke systemerne i sig selv.

Det er de tyske myndigheders sikkerhedskontor, BSI, der i en rapport undersøger sårbarhederne i systemer som Drupal, Joomla, Plone, Typo3 og Wordpress.

Ifølge BSI er det i Wordpress kun 20 procent af de bugs, der findes, der er i selve kernesystemet, mens 80 procent findes i de forskellige add-ons.

I Drupal er det endnu mere ekstremt - her findes 95 procent af sårbarhederne i tilføjelserne til systemer.

Hos Joomla er det 86 procent af sårbarhederne, der findes i de forskellige moduler, man kan føje til kernesystemet.

Hvor mange brugere er der?

Men følger man en række grundlæggende regler, kan man minimere risikoen.

"Først og fremmest går vi efter nogle af de moduler og plug-ins, der har en stor brugerbase. Hvor mange andre brugere er der? Det er et kvalitetsparameter, og kvalitet og sikkerhed hænger sammen," fortæller Anders Hal Werner, der er udviklingschef og partner hos virksomheden Peytz & Co, der blandt andet laver løsninger med Drupal og Wordpress.

"Og så er det rigtig vigtigt, at hele ens installation og alle moduler på tværs er opdaterede. Der kommer både feature-opdateringer og sikkerhedsopdateringer, og hvis man følger dem mere eller mindre slavisk, er man ret godt med."

"Både Wordpress og Drupal informerer om, at der er kommet nye versioner af modulerne," forklarer Anders Hal Werner, men tilføjer samtidig, at det kan give god mening at kræve en aktiv handling, før opdateringen finder sted."

"Det gør vi blandt andet her hos os for at sikre, at vi har backup. Der kan altid gå noget galt, når du piller ved kode og lægger ny kode ind, så vi skal sikre os, at vi kan rulle tilbage, hvis der skulle ske noget," siger udviklingschefen fra Peytz & Co, der blandt andet har leveret løsninger til DR, Københavns Kommune, FOA og Grundfos.

Flere gode råd til sikkerhed

Selvom rapporten fra BSI overordnet godkender sikkerheden i de undersøgte CMS'er, råder sikkerhedsforskerne ifølge The H-Online til, at man aldrig anvender systemerne med standard-instillingerne.

Det betyder blandt andet, at man bør undgå at køre med standard admin-konti, benytte HTTPS og slå automatiske sikkerheds-opdateringer til.

BSI konkluderer også, at Cross-site scripting (XSS) er det hyppigst forekommende problem i CMS'erne generelt.


Sårbarhedstyper i de undersøgte CMS'er ifølge BSI.

Følg @kimstensdal på Twitter

Læs også:

Her er hullerne i dit CMS: Sådan rammer hackerne dig

Open source CMS'er har alvorlige sikkerhedsproblemer

Verdens mest udbredte CMS fylder 10 år

CMC: Det bruges indholdsssystemerne til




Navnenyt fra it-danmarkVis alle »
Søren Damløv
Søren Damløv
Mads M. Larsen
Mads M. Larsen
Jonas Balslev Sørensen
Jonas Balslev Sørensen
Jonas Norberg
Jonas Norberg

Morten Mejer-Warnich
Morten Mejer-Warnich
Vickie M. Enevold Nielsen
Vickie M. Enevold Nielsen
Kathrine Vadsholt Klausen
Kathrine Vadsholt Klausen
Rikke Ljunggren
Rikke Ljunggren


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
BI Excellence Day 2025

Kom og få indsigt i, hvordan du kan arbejde målrettet og struktureret med BI, så din virksomhed bliver i stand til at tage hurtige og datadrevne beslutninger, der understøtter din virksomheds strategi. Netværk og del erfaringer med ligesindede og mød eksperter, der kan give viden om de nyeste tendenser, og hvordan du gør brug af disse uden at gå på kompromis med compliance.

30. april 2025 | Læs mere

Cyber Briefing: Geopolitik og cloud

Private vs. public cloud - hybride løsninger der sikrer kritiske data. Overvejer din organisation at vende de amerikanske cloud-giganter i ryggen set i lyset af den geopolitiske situation? Vi dykker ned i en dugfrisk rapport og diskuterer mulighederne for en "Plan B".

05. maj 2025 | Læs mere

Virksomhedsplatforme i forandring: Hvordan navigerer du i den teknologiske udvikling?

Hvordan finder du balancen mellem cloud- og hybride løsninger? Hvordan integrerer du legacy-applikationer ind i dit nye ERP-setup? Hvordan undgår du at havne i statistikken over store ERP-projekter, der fejler eller overskrider budgetterne?

06. maj 2025 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Morten Dragsbæk Humlum
Morten Dragsbæk Humlum
Søren Gjevert Pedersen
Søren Gjevert Pedersen
Mogens Nørgaard
Mogens Nørgaard
Rasmus Thorslund
Rasmus Thorslund
Anna Neckelius
Anna Neckelius
Mike Creutzer
Mike Creutzer
Thomas Wong
Thomas Wong
Mogens Nørgaard
Mogens Nørgaard
opinion
Morten Dragsbæk Humlum
Morten Dragsbæk Humlum
Modernisering af pc-flåden i en AI-tid: Fem overvejelser, som it-afdelingen bør gøre sig
Læs indlæg
Artikel teaser billede

Søren Gjevert Pedersen

Huller i sikkerhed koster virksomheder millioner - hvorfor gør vi ikke mere?

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Her er min liste over ugens største fjolser og ugens største nyheder

Artikel teaser billede

Rasmus Thorslund

I tvivl om implementeringen af AI? Her er tre tips til at komme i gang nu

Artikel teaser billede

Anna Neckelius

Virksomheder overser en skjult cybertrussel: Deres egen hardware

Mest læste klummer og blogs
Som it-chef står du over for en ubehagelig dobbelt-udfordring i 2025
Klumme: Igen står året i AI's tegn med et væld af nye forretningsudviklingsmuligheder. Men bagved gemmer sig en udfordring, der kan få selv de mest erfarne it-ledere til at svede.
Af: Mike Creutzer
Virksomheder overser en skjult cybertrussel: Deres egen hardware
Klumme: Mens mange virksomheder sætter alle sejl ind på softwaresikkerhed, viser en ny global undersøgelse, at de samtidig overser en anden stor trussel: Deres egen hardware. Og det kan blive dyrt.
Af: Anna Neckelius
Hackerne har fattet, at cybersikkerhed er blevet en battle of the machines – hvornår fatter vi det?
Cybersikkerhed har alle dage været katten efter musen. Men med AI’s indtog er der sat turbo på.
Af: Thomas Wong
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Her er min liste over ugens største fjolser og ugens største nyheder
opinion Mike Creutzer
Som it-chef står du over for en ubehagelig dobbelt-udfordring i 2025
Læs indlæg

Premium
Teaser billede
Efter et års test: Nu lancerer Microsoft den kontroversielle Windows-funktion "Recall"
Læs mere »
Dansk Microsoft-distributør sælger fra i stor stil: 100 danske partnere skifter hænder - tusindvis af servere flyttes
Danske Per Overgaard lander topstilling i verdens største pc-producent
Store konsekvenser: Det har de første 100 dage med Trump betydet for den danske it-branche
Se alle »
Computerworld
Teaser billede
Test: Derfor er Apples 100.000 kroners Mac et forrygende køb
Læs mere »
Det koster millioner, når du er høflig over for ChatGPT
Donald Trump og Elon Musk kan koste IBM dyrt: Mister stribevis af offentlige kontrakter
Her er Danmarks fem bedste CIO’er lige nu: De er nomineret til prisen som Årets CIO 2025
Se alle »
CIO
Teaser billede
Region Syddanmark vil købe kæmpe it-system og gå i clouden - står klar med næsten kvart milliard kroner
Læs mere »
Her er Danmarks fem bedste CIO’er lige nu: De er nomineret til prisen som Årets CIO 2025
Google-stifter kræver 60 timers arbejdsuge: Sådan går det i it-virksomheder, som vælger den anden vej og tilbyder nedsat tid
Klaus Koefoed Eriksen står i spidsen for stor europæisk cloud-leverandør: "Vi oplever stor interesse for europæiske cloud-alternativer"
Se alle »
Job & Karriere
Teaser billede
Den danske it-branche er på vagt: Hvad nu hvis Trump lukker for Microsoft 365 og AWS fra på mandag?
Læs mere »
Danske it-folk lokkes med store tiltrædelses-bonusser: Nu kan du score mere end 100.000 kroner ved at skrive under på ny jobkontrakt
Så meget tjener en dansk it-udvikler i gennemsnit om måneden: Forventer at få solide lønstigninger inden længe
Husk det her, når du skal købe it-løsninger næste gang: Vi er vidner til it-branchens største maskefald nogensinde
Se alle »
White paper
Teaser billede
Revolutionér kundeoplevelsen med AI og automatisering
Læs mere »
Sådan: Virtualisering uden vendor lock-in og høje omkostninger
NIS2: Sådan styrker du både cybersikkerhed og compliance
AI og kunderejsen: Sådan vinder du fremtidens forbrugere
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »