Veiligheid

Niemand wil dat zijn website gehackt wordt, dus het is van belang dat je je site veilig en up to date houdt. WordPress en Joomla zijn allebei in principe veilig. Zodra er een beveiligingsrisico of kwetsbaarheid wordt ontdekt, komt er een update uit waarmee het probleem wordt opgelost. Dat gebeurt voor WordPress ongeveer even vaak als voor Joomla. Bij Joomla moet je die updates zelf uitvoeren (door op een knop te klikken), bij WordPress kun je dat eventueel automatisch laten doen.

Het echte gevaar: uitbreidingen

Maar de veiligheid van je site wordt niet alleen bepaald door het CMS: als een site gehackt wordt, is de oorzaak maar al te vaak een verouderde plugin of extensie. Als de ontwikkelaar niet op tijd updates uitbrengt voor zijn extensie(s), kunnen daar dus ook risico’s ontstaan. En hoe meer extensies of plugins je hebt geïnstalleerd, hoe kwetsbaarder je site kan zijn, want je hebt er geen invloed op of die extensies wel veilig zijn en blijven op het moment dat er een risico ontdekt is.

Op een WordPress website draaien over het algemeen meer uitbreidingen dan op een Joomla website, omdat WordPress minder ingebouwde features heeft. Daar zul je dus sneller plugins moeten gebruiken om de functionaliteit te creëren die je nodig hebt – en dus eerder risico lopen.

Omdat WordPress het grootste CMS is, is het populair bij hackers. Als je de logs bekijkt, zie je dat er veel inlogpogingen gedaan worden en dat vaak wordt geprobeerd de site binnen te komen via een kwetsbaarheid in een WordPress plugin (ongeacht of die geïnstalleerd is op de site).

Dat weten ze bij WordPress zelf natuurlijk ook wel. Daarom is er een handige tool waarmee je kunt kijken of er plugins zijn geïnstalleerd die je niet gebruikt: de Site Diagnose. Die is standaard ingebouwd in WordPress.

SSL (groen slotje)

Heb je een SSL-certificaat op je website? Dan kun je bij Joomla met één vinkje aangeven dat de site altijd over https getoond moet worden. WordPress heeft die mogelijkheid niet ingebouwd, daarvoor moet je scripts gaan aanpassen.

Authenticatie in twee stappen

Voor authenticatie in twee stappen (bijvoorbeeld met een Yubi-key of Google Authenticator app) moet je in WordPress een plugin installeren. Joomla beschikt standaard over de mogelijkheid om authenticatie in twee stappen in te schakelen. Daar heb je geen uitbreidingen voor nodig, dat is ingebouwd in de core.

Welk systeem is veiliger?

Van zichzelf is Joomla veiliger. Je hoeft minder extra’s te installeren om je site te laten werken, en Joomla heeft standaard de SSL-optie en authenticatie in twee stappen. Bij WordPress ben je daarvoor afhankelijk van plugins.

Bij beide systemen wordt snel en adequaat gehandeld als er een beveiligingsrisico of kwetsbaarheid in het CMS wordt ontdekt.

Wil je toch wat meer security-opties dan de core biedt? Voor allebei zijn firewall-, monitoring- en backup-extensies beschikbaar (soms zelfs van dezelfde ontwikkelaars).