Drupal 7 draait nog? Dit moet je nu weten

TL;DR

• Drupal 7 krijgt sinds 5 januari 2025 geen beveiligingsupdates meer.
• Nieuwe kwetsbaarheden blijven open en worden niet meer gedicht.
• Dit betekent risico op datalekken, GDPR-boetes en reputatieschade.
• Afwachten maakt migreren duurder: complexiteit groeit met de maand.

Het probleem: je website staat open voor aanvallers

Het Drupal Security Team publiceert sinds 5 januari 2025 geen beveiligingsupdates meer voor Drupal 7. 
Nieuwe lekken blijven open staan. 
Hackers kunnen kwetsbaarheden uitbuiten zonder dat er een patch komt.
 

Voor jouw bedrijf betekent dit:
 

• Datalekken: klantgegevens, inloggegevens en contactinfo liggen onbeschermd.
• GDPR-risico: een verouderd systeem voldoet niet aan de vereiste passende technische maatregelen.
• Reputatieschade: klanten vertrouwen je minder na een datalek.
   

Simpel uitgelegd: wat is end-of-life?

End-of-life betekent dat de makers van Drupal 7 geen beveiligingspatches meer uitbrengen. 
Als er morgen een groot lek ontdekt wordt, blijft dat open staan. 
Geen update, geen oplossing.

Iedereen die het lek kent, kan het misbruiken.

Waarom dit telt in 2026

Drupal 7 is nu meer dan een jaar zonder support. Elke maand die voorbijgaat:
 

• Groeien de bekende kwetsbaarheden.
• Wordt je site een makkelijker doelwit voor geautomatiseerde aanvallen.
• Worden maatwerk en integraties moeilijker om mee te nemen.
   

Wat nu nog een overzichtelijke migratie is, wordt later een complex en duur project.

In 30 minuten weten waar je staat

Je hoeft niet meteen een volledig migratieplan te maken. 
Begin met een quick scan:
 

• Welke versie draait er precies?
• Hoeveel maatwerk en integraties zijn er?
• Welke functionaliteit is business-kritiek?
• Wat is een realistische planning?
   

Zo'n scan geeft je een inschatting van kosten, tijd en risico. 
Dan kun je een weloverwogen keuze maken.

5 quick wins om risico te verminderen

1. Maak nu een volledige backup: als het morgen misgaat, verlies je anders data.
2. Check je firewall: een goede firewall blokkeert veel aanvallen, maar lost het onderliggende probleem niet op.
3. Schakel ongebruikte onderdelen uit: minder code betekent minder aanvalsvlak.
4. Monitor verdachte activiteit: krijg meldingen bij ongebruikelijke inlogpogingen of bestandswijzigingen.
5. Bespreek dit intern: zorg dat iedereen weet dat dit risico bestaat en dat het prioriteit heeft.

Wat je aan je developer vraagt

• Welke Drupal 7 onderdelen gebruiken we en worden die nog onderhouden?
• Hoe complex is ons maatwerk en hoeveel tijd kost het om dat te herschrijven?
• Wat kost extended support en hoe lang kunnen we daarmee vooruit?
• Wat zijn de totale kosten voor migratie naar Drupal 10 versus een ander systeem?
• Hebben we een noodplan als de site morgen gehackt wordt?

Valkuilen

• "We wachten nog even tot de drukte voorbij is": elke maand uitstellen maakt migreren duurder en riskanter.
• "We hebben nog nooit problemen gehad": datalekken kondigen zich niet aan.
• "Extended support lost dit op": dat koopt je tijd, maar lost het probleem niet structureel op.
   

Oplossing: plan nu een scan en leg een realistisch tijdpad vast. Zo houd je de controle.