Verslag Pizza JUG & Fun dag 11 oktober 2025
Lees het verslag van Johan van der Velde van de Pizza JUG & Fun dag van zaterdag 11 oktober 2025. De thema's van deze bijeenkomst waren "Joomla 8 What? en http security headers".
Tijdens deze fysieke bijeenkomst waren er in totaal 11 deelnemers! Omstreeks 10:00 uur trapte ik de bijeenkomst af, nadat iedereen koffie/thee en een lekker stuk Limburgse Vlaai genomen had, die Pierre Veelen van aMultis B.V. meegenomen had.
Joomla nieuws
Joomla 6 komt eraan: op 14 oktober 2025 verschijnen Joomla 5.4 en Joomla 6.0 gelijktijdig. Joomla 5.4 is een versie speciaal bedoeld voor het kunnen upgraden van Joomla 5 naar Joomla 6. Tijdens onze volgende bijeenkomst op maandag 10 november zal Jeroen Moolenschot van Joomill ons meenemen en meer vertellen over Joomla 6. en zijn Joomill extensies.
Korte terugblik JoomlaDagen Nederland 2025
Op 3 en 4 oktober 2025 werden weer de jaarlijkse JoomlaDagen Nederland georganiseerd. Diverse leden waren vanuit JUG043 Maastricht afgereisd naar de Crown Hotel in Utrecht. Ze vonden dit een hele mooie locatie van alle gemakken voorzien en goed verzorgd met eten en drinken. Ze zijn naar diverse presentaties geweest en hebben met diverse andere bezoekers gesproken. Rolf Snijders heeft een verslag geschreven over zijn ervaringen tijdens zijn eerste bezoek aan de JoomlaDagen.
Verslag Rolf Snijders JoomlaDagen Nederland 2025
Mocht jezelf niet in de gelegenheid geweest om aanwezig te zijn, je kunt de slides van de presentaties terugvinden op de website van de JoomlaDagen Nederland.
Naar de presentaties JoomlaDagen Nederland 2025
Joomla 8 wat!?
We hebben het net over Joomla 5.4 en Joomla 6 gehad en nu al over Joomla 8, Wat!? Ons JUG043 Member en Joomla Volunteer Tom van der Laan is in september naar zuid Duitsland gereden en heeft deelgenomen aan een Joomla 8 sprint na een oproep in de Joomla Magazine van juni 2025. In het verleden was het moeilijk te voorspellen waneer er een nieuwe Joomla versie uitgebracht werd. Zo heeft het wel 8 jaar geduurd voordat Joomla 4 uitgebracht werd. De leden van de internationale Joomla Community willen dit voor komen en hebben een roadmap opgesteld over waneer er nieuwe releases uitgebracht worden.
- Elke 2 jaar: Major Releases 6.0, 7.0 en 8.0...
- Elke 6 maanden: Minor Releases 6.1, 6.2, 6.3...
- Elke 6 weken: Onderhouds (bug-fix) Releases 6.01, 6,02, 6,03... op dinsdag om 16:00 UTC.
Er kunnen tussentijds Security releases uitgebracht worden als er een kwetsbaarheid ontdekt wordt in Joomla.
Terug naar de Joomla 8 sprint waar onze JUG043 Maastricht lid Tom van der Laan naar toegegaan is. Hij had zich aangemeld en na een grondig interview mocht hij deelnemen. Er waren nog een aantal andere Nederlandse Joomlers aanwezig waaronder Maarten Blokdijk en Rachel Walraven. Ze hebben besproken hoe de weg naar Joomla 8 eruit zou moeten komen te zien en toegewerkt naar een RoadMap. En na een stemming is er een overzicht gemaakt van de features (nieuwe opties) voor Joomla 8.0.
In de presentatie is stilgestaan bij het OSM team dat een soort van holding is voor het Joomla project. De boardmembers van OMS zijn:
- Maria Skampoura (United-Kingdom) - President
- Emmanuel Lemor (Frankrijk) - Vice President
- Philip Walton - (United-Kingdom) - Secretary
- Nadia Lamisch - Treasurer
- Carlos Cámara - (Spanje) - Department Coordinator: Operations
- Richard Gosler - (United-Kingdom) - Department Coordinator: Outreach
- Sigrid Gremlinger (Oostenrijk) - Department Coordinator: Production
We hebben het over de doelgroep van Joomla gehad en dat de Joomla Community nog wel volunteers kan gebruiken. We hebben gebruik mogen maken van de presentatie die eerder verzorgd werd door Sigrind Gremmlinger. Bekijk de gehele presentatie van Sigrid Gremlinger op YouTube:
Presentatie en Workshop http Security Headers
Security of informatiebeveiliging is een belangrijk element voor websites. Zelfs met de ingebouwde beveiligingsmaatregelen van Joomla blijft informatiebeveiliging cruciaal. Elke website is kwetsbaar voor aanvallen zoals hacks, malware of datalekken. Extra beveiliging voorkomt verlies van data, reputatieschade en downtime.Door actief te letten op security houd je de site veilig, betrouwbaar en toekomstbestendig.
Afgelopen jaar heeft Luca Congiu laten zien hoe relatief eenvoudig het is om een slecht onderhouden website te hacken is (presentatie Hoe gaat een hacker te werk?). Tijdens de JoomlaDagen Nederland hebben Luca en ik een presentatie mogen verzorgen over: Hoe veilig is Jouw Joomla-website? een hacker's Persectief!
Hoe Veilig is Jouw Joomla-Website? Een Hacker's Perspectief!
In 2024 en 2025 hebben we veel aandacht aan informatie beveiliging besteerd, zo heeft Peter Martin op 17 juni 2024 een presentatie verzorgd over http Security Headers. Nu wilden we dit ook in de praktijk leren toepassen.
Veiligheid eerst! Daarom kregen alle deelnemers een bouwvakkershelm op, zodat onze hoofden beschermd waren (en we een hoop hoofdbrekens bespaarden…) voordat we vol enthousiasme zelf aan de slag gingen ;-).
Iets na 11 uur startte Peter Martijn zijn presentatie over de http Security headers. Hij nam ons mee waarom je, jou website extra moet beschermen tegen kwaadwillenden tegen zaken als clickjacking, cross site scripting, ongewenste JavaSripts, onveilge iFrames en meer. Hij liet ons zien hoe je met de standaard Joomla http plugin jou website stap voor stap kunt beveiligen.
De http Plugin van Joomla
De HTTP Headers plugin is officieel beschikbaar gekomen in Joomla 4.0, dat werd uitgebracht op 17 augustus 2021. Vanaf Joomla 4 werd beveiliging centraal gesteld, en de “System – HTTP Headers” plugin werd toegevoegd als core functionaliteit om eenvoudig beveiligingsheaders in te stellen — zoals Content Security Policy (CSP), X-Frame-Options, Referrer-Policy, enzovoort. In Joomla 5 (uitgebracht op 17 oktober 2023) is deze plugin verder verbeterd met een duidelijkere interface en extra opties voor het configureren van meerdere headers tegelijk.
Voordat je start met het instellen van de http security headers is het handig om te weten hoe je huidige beveiligingsstatus van je Joomla website op dat moment is. Hiervoor kun je gebruik maken van de volgende websites:
- Website securityheaders.com: https://securityheaders.com/
- Website internet.nl: https://internet.nl/
- Website Qualis SSL Labs: https://www.ssllabs.com/ssltest/
- Website Mozilla Observatory: https://developer.mozilla.org/en-US/observatory
Tijdens de workshop is er veelvuldig gebruik gemaakt van SecurityHeaders.com waarbij een doelstelling zou kunnen zijn dat je website een A of een A+ scoort. De Content Security Policy (CSP) headers zijn complexer om in te stellen. Door naar de console instellingen te kijken in je Chrome Browser kun je zien of er foumeldingen verschijnen, zie verderop in het artikel.
Website scannen met SecurityHeaders.com
Naar de website SecurityHeaders.com :
Let op: vergeet niet om voordat je start met een websitescan, om een vinkje te plaatsen bij Hide results! Indien je website een slechte score heeft kom je in de wall of shame te staan! Zie onderstaande print screen.
(klik op de afbeelding voor een vergroting)
Website resultaten voor de aanpassingen
Hieronder het resultaat voordat de http security headers ingeschakeld en geconfigureerd zijn voor de website https://jvandervelde.jug043workshops.nl/.
De http plugin is standaard uitgeschakeld:
De website scoort een F na de scan, dat zonder dat de http plugin ingeschakeld is.
Nu schakelen we de http plugin in via Systeem > Plugins > zoek op http en klik op het grijs kuisje
De website scoort nu een D, met dus alleen de plugin ingeschakeld en zonder verdere configuratie!
Website resultaten na de aanpassingen
Pas als alles naar behoren werkt kan de optie report only (die dus alleen rapporteerd maar niets uitvoert in de browser) ingeschakeld worden.
Let op: laat de instellingen van de http Plugin in het tabbald Content Security Headers de optie Report only aan staat. je website kan voor een foutieve instelling niet meer goed functioneren!
Het eindresultaat:
Website scannen met Internet.nl
Wat is Internet.nl? Op Internet.nl kun je eenvoudig testen of je internet up-to-date is. Gebruiken jouw website, e-mail en internetverbinding wel moderne, betrouwbare Internetstandaarden? En, als dat niet zo is, wat kun je daar aan doen? Het is een initiatief van o.a. NCSC, SIDN en SURF.
Je kunt je website scannen en bekijken hoe goed jouw website beveiligd is. Hierbij zou je moeten streven om een 100% te soren. Hierbij ben je mogelijk afhankelijk van je hosting provider aangezien diverse technische instellingen op webserver niveau plaatsvinden.
Controleren op foutmeldingen via de Chrome console
Voordat je de optie Report only uitschakeld en kunt scannen of je website nu beter scoort dien je eerst op eventuele fouten te contgroleren. Doe je dat niet dan loop je de kans dat scripts, fonts, pop-ups etc. niet meer functioneren! Je kunt hierbij gebruik maken van de Google Chrome Console.
De Chrome Console is een krachtig hulpmiddel voor het controleren van je website en het opsporen van foutmeldingen, waaronder problemen met HTTP Security Headers zoals Content-Security-Policy (CSP), X-Frame-Options en Referrer-Policy.
Je opent de console eenvoudig door in Chrome op Ctrl + Shift + J (Windows/Linux) of Cmd + Option + J (Mac) te drukken, of via het menu: Meer hulpprogramma’s → Ontwikkelaarstools → Console.
Wanneer een browser een beveiligingsregel blokkeert of een header niet correct wordt toegepast, verschijnt er in de console een melding of waarschuwing. Bijvoorbeeld, bij een CSP-fout kan de console aangeven:
Refused to load the script 'https://example.com/script.js' because it violates the Content Security Policy directive 'script-src'
Door deze meldingen te bekijken, kun je precies zien welke bronnen geblokkeerd worden en welke headers mogelijk dubbel of verkeerd geconfigureerd zijn. Zo kun je stap voor stap je Joomla-site veiliger maken en testen of je HTTP Security Headers correct werken.
Lunch met Pizza's
Tijdens de lunch nuttigden we Pizza's (of alternatieve gerechten) en werd er gesproken over vele leuke Joomla gerelateerde onderwerpen. Zo onttstond het idee om zelf pizza's te gaan bakken en de voolgende internationle Pizza Bugs & Fun dag 2026 in Nederland te organiseren bij onze JUG043 Maastricht!
Bezoek de website Pizza & BUGs and Fun
Na de lunch ging iedereen aan de slag met de door Peter uitgereikte hand-out om zijn of haar eigen website te beveiligen met de http plugin van Joomla. Omstreeks 16:15 uur sloten we de Pizza JUG & Fun dag af en bedankten we Peter voor zijn bijdrage, de lekkere cookies en zijn er weer een aantal Joomla websites die nog veiliger geworden zijn! We danken Pierre voor de heerlijke vlaai en Jules voor de fijne locatie die wij mogen gebruiken!
Recept voor heerlijke Cookies en presentaties
Peter Martin van DB8 arriveerde en had overheerlijke OpenSource Cookies gebakken! je kunt het openSource recept hier vinden, downloaden en je mag deze ook aanpassen en delen. Downlad het bestand en pak het Zip bestand uit, open dan het open-source-cookies-recipe.md, er staat ook een vegan versie in het Zip bestand.
Bekijk de Source Code (recept) van deze Cookies op GitHub
Presentaties
Presentatie van JUG043 bijeenkomst
Presentatie van Peter Martin - http security headers
Voorlopige planning bijeenkomsten 2025 - 2026
- maandag 10 november - Joomla 6 - Joomill extensions! - door gastspreker Jeroen Moolenschot
- maandag 8 december - onderwerk nog niet bekend
- januari 2026 - internationale Pizza JUG & FUN dag 2026.
De volgende bijeenkomst
De volgende bijeenkomst die door JUG043 wordt georganiseerd is op:
Datum en tijd: maanda 10 november 2025 van 19:00 t/m +/-21:30 uur
Locatie: Beek
Soort bijeenkomst: Hybride
Thema: Joomla 6 en Joomill extensies
Naam (gast)spreker: Jeroen Moolenschot
Foto album
Hieronder een sfeerimpressie van de dag.
JUG043 Maastricht
Locatie bijeenkomsten:
Stationsstraat 100, Beek (Nederland)
maastricht@joomlacommunity.nl
jug043.nl
JoomlaCommunity.nl
Facebookpagina JUG043 Maastricht
LinkedInpagina JUG043 Maastricht
