X

Joomla 4 komt eraan

De nieuwe versie van Joomla, Joomla 4, komt er bijna aan. De eerste versie van Joomla 3.x werd gelanceerd in september 2012. In 2021 zal Joomla 4 gelanceerd worden, maar de oude Joomla 3.x versie waar uw site(s) onder draaien houden voorlopig nog wel support. Maar we adviseren om tegen die tijd zo spoedig mogelijk over te stappen naar de nieuwe versie 4, die voorlopig weer voor lange tijd ondersteund zal worden.

Als de nieuwe Joomla 4 gelanceerd gaat worden zal ik contact met u opnemen voor de overstap en de consequenties die dat heeft. In de aanloop naar de nieuwe versie, maar ook de veranderende eisen van browsers o.a. in verband met security zijn en worden een paar dingen anders. Dat brengt extra werk met zich mee dat ik niet kan aanbieden binnen het onderhoudspakket dat u bij mij afneemt omdat het nogal wat handelingen inhoud. Maar gelukkig bent u dan weer helemaal up-to-date en is uw site nog veiliger geworden, wat in deze steeds schemerig wordende wereld essentiel is om uw site zo goed mogelijk online te houden zonder problemen.

Voorbereiding Joomla 4

In de huidige Joomla 3, en tevens als voorbereiding op Joomla 4 en de verbetering van veiligheid moeten onder andere wat instellingen binnen Joomla aangepast worden. Deze settings heb ik voor u aangepast zodat u op dat gebied weer helemaal up to date bent. O.a.:

  • Disable `Mail To Friend` Feature To Prevent Spamming
  • Administrator Group Should Have Default Blacklist Filter Enabled
  • Do Not Allow Sending Of Plain Text Passwords Via Email
  • Default Setting For The Public, Guest And Registered Groups Recommended 'No HTML'
  • Post Install Messages Should Be Actioned And Hidden
  • Disable `Send Copy To Submitter` Feature To Prevent Spamming
  • Enable Two Factor Auth Plugins So Users Can Use 2FA

Security headers

Er moeten Security Headers toegevoegd worden aan uw website en dat heeft wat aanpassingen/toevoegingen nodig om aan alle nieuwe browsereisen te voldoen. In Joomla 4 zijn deze al standaard geintegreerd. Het verhoogt niet alleen de veiligheid van uw website(s) maar heeft ook nog eens een positive score op uw SEO.

The HTTP Strict-Transport-Security response header
Zorgt ervoor dat uw bezoeker altijd en alleen over HTTPS verbinding communiceert. HSTS (HTTP Strict Transport Security) is een webbeveiligingstechniek die uw bezoekers helpt te beschermen tegen downgrade-aanvallen, MITM-aanvallen (Man in the middle) en sessie-kapingen. HSTS doet dit door webbrowsers te dwingen te communiceren via HTTPS en door onveilige verzoeken via HTTP te blokkeren.

Strict-Transport-Security
Hiermee verplichten we browsers om een website alleen via https:// te mogen inladen. Om dit juist te laten werken zal uw website vanaf nu redirecten van www.uwdomein.ext naar uwdomein.ext. Dus zonder de www. wat in feite een subdomein is.

X-Frame-Options
Hiermee wordt aangegeven of een website in een iframe ingeladen mag worden. Met de instelling SAMEORIGIN kan de website niet ingeladen worden op een andere website omdat de 'origin' verschilt.

Content-Security-Policy voor Chrome / Safari / Opera / Firefox
X-Content-Security-Policy voor IE 10 en IE 11
Hiermee wordt aangegeven welke CSS, JS, fonts en/of lettertypen vanaf waar ingeladen mogen worden.

X-XSS-Protection
Browsers blokkeren de toegang wanneer ze vermoeden dat een XSS aanval wordt uitgevoerd. XSS is ook wel bekend onder de naam Cross-site scripting.

X-Content-Type-Options
Met deze optie proberen browsers niet te bepalen wat het MIME-TYPE is door eraan te ruiken (sniffen). Ze luisteren alleen naar de MIME-TYPE zoals die door de website opgegeven is.

Referrer-Policy
Bepaald hoe de browser om moet gaan met de referrer. Goed ingesteld zal de browser de referrer niet doorgeven als er van https:// naar http:// wordt gegaan.

Permission-Policy
Hiermee wordt aangegeven welke browser functionaliteiten of API’s gebruikt mogen worden. Functionaliteiten die hiermee bijvoorbeeld uit te zetten zijn: notificaties, push berichten, microfoon, gyrometer etc.

Content security policy
Een content security policy bestaat uit een aantal soorten. Hoe meer in detail deze is ingesteld hoe veiliger de website wordt.

  • default-src = de fall back als een ander soort niet toereikend is
  • script-src = de instellingen voor Javascript bestanden en inline code
  • style-src = de instellingen voor CSS bestanden en inline code
  • font-src = de instellingen voor lettertype bestanden
  • media-src = de instellingen voor muziek / video intern en extern
  • img-src = de instellingen voor afbeeldingen intern en extern

Tenslotte

Ik kan me voorstellen dat het u ondertussen duizelt. Maar geen zorgen, u hoeft zich hier helemaal niet mee bezig te houden. Dat is nu precies waarom ik uw sites onderhoud. Maar het geeft een idee van de wijzigingen die nodig zijn om uw site(s) zo optimaal en veilig mogelijk te houden. En zoals u weet, ik doe dat heel graag. Maar dit zijn zoveel wijzigingen en veranderingen, inclusief testen, waarmee ik genoodzaak was om dit éénmalig naast uw hosting- en onderhoudscontract te factureren waarbij ik maar een deel van de werkelijke kosten heb doorberekend.

Check hier de score van uw website: https://securityheaders.com