Craft CMS is heel veilig.

Voor specifieke informatie over de veiligheid van Craft CMS, bekijk de documentatie:

Hierbij een vertaling van de pagina over Craft CMS security:

Veelgestelde vragen over beveiliging
Pixel & Tonic, de maker van Craft CMS neemt beveiliging zeer serieus en zorgen ervoor dat Craft CMS een veilig en beveiligd platform is voor iedereen die het gebruikt. Als gevolg hiervan wordt Craft CMS vertrouwd door bedrijven als Microsoft, Apple, Reddit, Adobe, BigCommerce, Netflix, AT&T, McDonald's en Dell, plus tal van overheids-, financiële en educatieve organisaties.

Hieronder vind je antwoorden op veelgestelde vragen die we ontvangen en die betrekking hebben op veiligheid van het vakgebied.

Welke beveiligingspraktijken hanteert Pixel & Tonic?
De codebases van Craft CMS en hun dependancies ondergaan regelmatig beveiligingscontroles door ons eigen team en externe beveiligingsonderzoekers, zowel door de code handmatig te inspecteren en geautomatiseerde controletools te gebruiken en we werken regelmatig samen met veiligheidsexperts om op de hoogte te blijven van de beste werkwijzen en te leren over nieuwe aanvalsvectoren.

Welke maatregelen zijn genomen om Craft op kernniveau veilig te stellen?
Craft biedt de volgende ingebouwde beveiligingsmaatregelen:

  • Craft en Yii gebruiken PDO voor alle database queries en alle dynamische waarden zijn geparametriseerd om SQL-injectie-aanvallen te voorkomen.
  • Craft valideert gevoelige cookiegegevens met behulp van een persoonlijke sleutel om ervoor te zorgen dat aan de cookies van het verzoek niet is geknoeid.
  • Craft gebruikt standaard CSRF-tokenvalidatie om CSRF-aanvallen te voorkomen.
  • Twig ontsnapt automatisch aan HTML-entiteiten die standaard dynamisch worden uitgevoerd, waardoor XSS-aanvalsvectoren worden vermeden.
  • Niet-vertrouwde HTML wordt standaard gezuiverd met HTML Purifier.
  • Niet-vertrouwde SVG-documenten worden standaard met SVG Sanitizer schoongemaakt.
  • Geüploade bestandsnamen worden gereinigd en afbeeldingen worden tijdens het uploaden opnieuw opgeslagen om ervoor te zorgen dat eventuele schadelijke code die in de afbeelding is ingesloten, wordt verwijderd.
  • Gevoelige informatie zoals wachtwoorden en beveiligingssleutels worden geredigeerd uit foutmeldingen en logs.
  • Craft verifieert nieuwe e-mailadressen in gebruikersaccounts voordat deze standaard worden geaccepteerd.
  • Craft vergrendelt gebruikersaccounts tijdelijk na te veel mislukte inlogpogingen.
  • Voor Craft is vereist dat gebruikers hun huidige wachtwoord in de afgelopen 5 minuten standaard opnieuw hebben ingevoerd, voordat ze potentieel schadelijke acties uitvoeren, waaronder het wijzigen van e-mails of wachtwoorden of het toewijzen van nieuwe gebruikersrollen, groepen of machtigingen.
  • Craft biedt gedetailleerde machtigingen voor gebruikersaccounts en gebruikersgroepen via een eenvoudig en intuïtief rechtensysteem.
  • Craft slaat de reeks gebruikersagenten standaard op in identiteitscookies, waardoor sessie / cookie-kaping wordt voorkomen.
  • Craft weigert alle verzoeken om een sessie te starten die geen user-agentstring of IP-adres bevat, waardoor rechtstreekse socketverbindingen worden voorkomen.
  • Craft vereist PHP 7.0+.
  • Craft gebruikt OpenSSL voor het genereren van cryptografisch beveiligde e-mailverificatiecodes, wachtwoordherstel-tokens en andere tekenreeksen.
  • Craft gebruikt de native PHP password_hash () -methode als deze beschikbaar is, die standaard het blowfish-algoritme is, aantoonbaar de meest veilige en betrouwbare methode voor
  • wachtwoordversleuteling. Als het niet beschikbaar is, gebruikt het de native crypt () -methode van PHP met behulp van het blowfish-algoritme met een sterk, cryptografisch beveiligd willekeurig zout.
  • Sessiecookies zijn alleen ingesteld op HTTP.
  • Craft zal de veilige vlag instellen voor alle cookies die standaard via SSL worden verzonden.
  • Met Craft stel je de X-frame-opties: SAMEORIGIN-header in op alle aanvragen van het Configuratiescherm, zodat klikken wordt voorkomen.
  • Craft stelt de X-Content-Type-Options: nosniff header in op alle Control Panel-verzoeken, waardoor sommige Ajax XSS-aanvalsvectoren op oudere versies van Internet Explorer worden voorkomen.
  • In het Configuratiescherm wordt het verwijzingsbeleid origin-when-cross-origin gebruikt, zodat uitgaande koppelingen de volledige URL van het configuratiescherm niet kunnen achterhalen.
  • Craft gebruikt tijdveilige methoden voor gevoelige vergelijkingen, zoals het controleren van de gelijkheid van wachtwoord-hashes, zodat timing-aanvallen worden voorkomen.
  • De standaardmapstructuur van Craft moedigt mensen aan om toepassingsbestanden boven de webroot te houden en het hulpprogramma System Report in het configuratiescherm waarschuwt je als dit niet het geval lijkt te zijn.
Daarnaast biedt Craft verschillende configuratie-instellingen die kunnen worden ingesteld om de beveiliging verder te verbeteren, die worden vermeld in de handleiding Beveiligde gidsen.

Wat gebeurt er als een beveiligingsprobleem wordt gemeld?
Wanneer een beveiligingsprobleem wordt gemeld, proberen we snel de geldigheid ervan te bevestigen en zo snel mogelijk een oplossing te implementeren.

Als er een openbare exploit is, zullen we de update als kritiek markeren, waardoor een waarschuwing boven alle niet-gepatchte Craft-installaties wordt weergegeven.

Hoe kan ik een melding krijgen als er een beveiligingsincident optreedt?
Je kan je abonneren op de RSS-feed van Craft's releases, of releases bekijken op GitHub, om op de hoogte te worden gehouden wanneer er nieuwe versies zijn uitgebracht. We vermelden alle beveiligingsgerelateerde verbeteringen onder de kop 'Beveiliging' in de changelog en nieuwe releases die beveiligingsverbeteringen bevatten, krijgen een speciale vermelding van ons @craftcms Twitter-account.

Ik heb een beveiligingsprobleem vastgesteld. Hoe moet ik dit melden?
Als je een beveiligingsprobleem hebt ontdekt in een van onze codebases, lees en volg dan ons beveiligingsbeleid.