OnPole maakt voor de bouw van haar online oplossingen voornamelijk gebruik van het CMS Joomla, welke bewezen stabiele en veilige open source software is.

Het is niet eenvoudig om vast te stellen hoeveel websites er wereldwijd gebruik maken van Joomla. Recente cijfers tonen aan dat 28.9% van het totaal aantal websites ter wereld gebruik maakt van een CMS en dat van dit aantal 9,5% gebruik maakt van Joomla. De Nederlandse Joomla community komt, via een andere berekening, tot de conclusie dat er tussen de 1,5 en 2 miljoen Joomla websites zijn. Feit is dat de verschillende versies - sinds maart 2007 - ruim 14 miljoen maal gedownload zijn (en webbouwers downloaden een versie doorgaans één keer om deze meerdere malen te gebruiken).

Deze enorme aantallen maken Joomla (lees: de door derden ontwikkelde extensies) tot een zeer gewild doelwit van hackers die, wanneer zij een lek gevonden hebben, een ruim aanbod hebben om daartussen een mogelijk slachtoffer te zoeken. Anders dan bij closed-source software kunnen hackers de broncode bekijken en hierin mogelijk zwakke plekken zoeken.
Dit ogenschijnlijke nadeel heeft echter als gevolg dat er door de wereldwijde community buitengewoon veel aandacht wordt geschonken aan alle denkbare veiligheidsissues. De broncode wordt al door honderden topontwikkelaars bekeken en getest voordat deze wordt vrijgegeven voor een nieuwe release.

Voor gebruikers is het dan wel belangrijk om gebruik te maken van de laatste versies waarin verbeteringen op het gebied van veiligheid zijn toegepast.
Hiervoor biedt OnPole haar relaties een onderhoudscontract aan waarin Joomla plus de geïnstalleerde extensies volledig up-to-date gehouden wordt. De regel is dat deze installaties binnen 24 uur bijgewerkt worden naar de laatste versie.

Onveilige situaties binnen een installatie ontstaan dus zelden door een tekortkoming binnen Joomla, maar door een lek in een extensie. Het is dus erg belangrijk dat deze extensies, vóórdat deze geïnstalleerd worden, door de leden van de community getest zijn. Dat is alleen het geval bij de inmiddels bijna 9000 extensies in de JED (Joomla Extensions Directory). Deze extensies worden bovendien continue door de community gemonitord. Ieder ontdekt probleem (groot of klein) wordt gemeld op de VEL (Vulnarable Extensios List). Onpole checkt deze lijst wekelijks op een vast tijdstip.  Onpole plaatst nooit extensies die niet voorkomen in de JED en binnen het onderhoudscontract worden alle in een installatie geplaatste extensies door OnPole 'up to date' gehouden.

Verreweg de meeste gevallen van gehackte joomla websites hebben een zelfde oorzaak: een sterk verouderde en nooit bijgewerkte installatie en/of extensies. Vooral wanneer deze gehost worden bij een organisatie die geen aandacht besteed aan wat er door de klanten geïnstalleerd wordt. Ook "vergeten" installaties kunnen voor hackers een dankbaar doelwit zijn. Eenmaal binnen is het soms ook mogelijk om andere sites op dezelfde server binnen te komen.

Veilig werkende hostingpartijen scannen de bij hen geïnstalleerde websites op versienummering en eisen updatemaatregelen van haar klanten. OnPole maakt gebruik van een serveromgeving die speciaal voor Joomla is ingericht, optimaal is beveiligd (suPHP is standaard) en voert de updates zélf uit.
Op de webservers van OnPole worden geen websites gehost die niet door onze medewerkers worden onderhouden.

Veiligheid Open source in het algemeen

Open source software: bron van vertrouwen? In dit artikel beschrijft Prof. Bart Jacobs, hoogleraar beveiliging en correctheid van programmatuur aan de Universiteit Nijmegen, waarom open source software in het algemeen veiliger is dan closed source software. Daar leest u hier meer over.

Open Source en de Overheid

De overheid, waar veiligheid een belangrijk punt is, maakt gebruik van Open Source en Open standaarden. Hiervoor is o.a. het Forum en College Standaardisatie opgericht. Staatssecretaris Heemskerk van Economische Zaken heeft op 14 mei 2007 aan het Forum Standaardisatie gevraagd om advies te geven over een aantal vragen op het gebied van open standaarden en open sourcesoftware. Met behulp van dit advies heeft de staatssecretaris het actieplan Nederland Open in Verbinding opgesteld.
In de laatste voortgangrapportage hierover staat o.a.: "Op het gebied van Content Management Systemen (CMS) concurreren open source varianten al volwaardig met closed source varianten".

Referenties Onpole en Veiligheid

• Een intranet voor Amarant: Bij Amarant werken ruim 3500 enthousiaste medewerkers, die in Midden- en West-Brabant op een betrokken en deskundige wijze diensten verlenen aan mensen met een beperking en hun omgeving.
• Een volledig online administratief systeem voor de VCgP (Vereniging voor Cliëntgerichte Psychotherapie).
  Bezoekers kunnen op de website een keuze maken uit de 1500 aangesloten Psychotherapeuten waarvan sommige gegevens zichtbaar zijn.
  Via beheergedeelte van de website wordt de volledige verenigingsadministratie en financiële afwikkeling gestuurd (PhP/MySQL).
• Twee intranetten voor Staffing Associates: Staffing Associates is de moederorganisatie van 7 uitzendbureaus en een executive search- en executive interim-bureau.
  De uitzendbureaus zijn gespecialiseerd in specifieke doelgroepen zoals zorg, bouw & techniek, studenten, ouderen en office-personeel.
  Eén uitzendbureau bedient de markt breder en heeft de ambitie om binnen enkele jaren toe te treden tot de top 5 uitzendorganisaties in Nederland.
  Franchisenemers kunnen inloggen in het systeem en daar hun verloningsgegevens beheren, trainingen volgen en krijgen inzicht in de maandcijfers van hun "label" en de moederorganisatie. Al deze data is achter inloggegevens beschermd.
• Acht websites voor de verschillende uitzendbureaus van Staffing Associates waar inleners en kandidaten een keuze kunnen maken uit vraag en aanbod op de banenmarkt.
• Nederlandse Vereniging voor eHealth / eHealthwijzer: twee websites i.o.v en in samenwerking met Syntens (Min. van Economische Zaken).
  Op deze websites is de bescherming van persoonsgegevens een belangrijk topic.
• Main.nl is de website van een investerings- en participatiemaatschappij.
  Het afgesloten gedeelte biedt informatie over investeringsprojecten die, na inlog, in een  "dataroom" zichtbaar wordt gemaakt.
• Exiobase.eu is een gezamenllijk project van TNO Delft en de afdeling CML Industrial Ecology van de Universiteit van Leiden.
  Twaalf databases worden in een beveiligde omgeving aangeboden aan andere Universiteiten.
• Een extranet voor BovenMaas Prenataal. Medewerkers en doorverwijzers kunnen  inloggen op de website waarbij ze relevante informatie te zien krijgen.
• Diverse webwinkels:Vepo.nl, Semmie.net, SPRCoatings.nl, actualbikewear.nl, mosidesign.nl
• Op Onpole.nl hebben relaties met hun inloggegevens toegang tot een eigen deel op de ftp-server waarop de facturen, offertes, bestanden en back-ups van hun websites te downloaden zijn. Achter de inlog zit ook het strippenkaartsysteem voor de helpdesk. door de klant gewijzigde profielgegevens (mySQL) worden - via odbc - realtime geupdate in het administratieve systeem (Filemaker).