Hacks zijn aan de orde van de dag. De vraag is niet of er een poging wordt ondernomen om jouw website te hacken, maar vooral hoe je kunt voorkomen dat deze hack succesvol is. Volgens cijfers van SiteLock worden websites gemiddeld 22 keer per dag aangevallen. Dat betekent bijna 8.000 aanvallen per jaar. De aandacht richt zich niet alleen op grote websites van multinationals en succesvolle webshops. Hackers maken vaak gebruik van geautomatiseerde scripts om op grote schaal kwetsbaarheden in websites te vinden. Hierbij wordt geen onderscheid gemaakt tussen kleine en grote websites en daardoor is iedere website een potentieel doelwit. Hoe zorg je voor een veilige website?
De reden waarom hackers toegang willen verkrijgen tot jouw website kan heel verschillend zijn. De ene hacker wil jouw website gebruiken om spam en malware te verspreiden, een andere herleidt al jouw websiteverkeer automatisch door naar een andere website en een derde is op zoek naar waardevolle data zoals persoonsgegevens. Wat het doel van een cybercrimineel ook is, je wilt de risico’s van een hack te allen tijde beperken.
We kunnen ons heel goed voorstellen dat het lastig kan zijn om de beveiliging van je website op orde te krijgen, zeker wanneer je zelf beperkte technische kennis hebt. In dit artikel delen we daarom een aantal basisprincipes voor een veilige website. Door deze 5 tips toe te passen, kun je al veel verbeteren aan de beveiliging van je website.
Veilig internetten willen we allemaal. Is jouw website benaderbaar via http of https aan het begin van de URL? In het laatste geval is een groen slotje zichtbaar in de adresbalk en wordt er gebruik gemaakt van een SSL-certificaat. Hierdoor wordt data tussen computers via een beveiligde verbinding verzonden. Cybercriminelen kunnen onderschepte gegevens, bijvoorbeeld verzonden via een contactformulier, dan niet meer uitlezen omdat ze zijn gecodeerd door middel van encryptie. Een SSL-certificaat maakt jouw website dus veiliger voor bezoekers, maar helpt ook wanneer je zelf wilt inloggen in het CMS of de backend van je eigen website. Je gebruikersnaam en wachtwoord worden dan namelijk ook automatisch versleuteld verzonden.
Verwerkt jouw website persoonsgegevens? Dan is een SSL-certificaat volgens de AVG-wet sowieso verplicht. Je kunt hierbij kiezen uit verschillende type SSL-certificaten, zoals Domain Validation, Wildcard en Extended Validation SSL. Na het installeren van een SSL-certificaat, zijn de pagina’s van jouw website zowel benaderbaar via https als http. Om ervoor te zorgen dat jouw bezoekers altijd gebruik maken van een versleutelde verbinding, is het aan te raden om het http verkeer voortaan door te sturen naar https. Dit kun je bijvoorbeeld instellen door onderstaande regels toe te voegen aan het .htaccess bestand.
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301]
Heb je hulp nodig bij het instellen van deze redirects naar https? Neem dan contact op met onze klantenservice. We helpen je graag!
Vroeger was het bouwen van websites alleen weggelegd voor techneuten met veel kennis op het gebied van Javascript, PHP en CSS. Dankzij handige kant-en-klare softwarepakketten, zoals Joomla! en WordPress, kan in principe iedereen snel een eigen website opzetten. Installeer een CMS en kies één van de duizenden templates (uiteraard alleen downloaden via een betrouwbare partij!) en je kunt al aan de slag. Na de initiële installatie en configuratie, moet je echter wel aandacht blijven besteden aan je website en regelmatig onderhoud uitvoeren.
Als er bijvoorbeeld een lek wordt gevonden, worden deze kwetsbaarheden gedicht via security-patches. Worden deze updates niet geïnstalleerd, dan kunnen hackers toegang krijgen tot jouw verouderde en daardoor kwetsbare content management systeem (CMS). Zorg er dus voor dat jouw softwarepakket zo snel mogelijk up-to-date is. Bij Yourhosting maken we gebruik van een handige tool genaamd Patchman. Hierdoor ontvang je automatisch een melding over beveiligingsrisco’s vanwege verouderde software op je hostingpakket.
Vergeet niet om regelmatig te controleren of geinstalleerde plug-ins en extensies van externe partijen ook volledig up-to-date zijn. Voor WordPress zijn er bijvoorbeeld meer dan 50.000 plug-ins beschikbaar. Veel van deze plug-ins zijn wel handig maar niet altijd veilig, omdat ze bijvoorbeeld al een tijdje niet meer worden ondersteund door de developer. Dit kan veel beveiliginsrisico’s met zich meebrengen. Vraag je dus af bij iedere plugin of ze 1. gebouwd zijn door een betrouwbare partij en 2. Of ze überhaupt nog wel regelmatig worden geüpdatet. Zo nee, dan is het verstandiger om deze plugin volledig te verwijderen. Voorkomen is beter dan genezen.
Welk wachtwoord gebruik je momenteel om in te loggen in de backend van jouw website? Als dit 123456, qwerty, password of één van de andere meest voorkomende wachtwoorden is, dan is het aan te raden om dit zo snel mogelijk te veranderen. Hackers maken namelijk gebruik van lange lijsten met de meest waarschijnlijke wachtwoorden en proberen hiermee geautomatiseerd in te loggen op jouw website. Door gebruik te maken van wachtwoorden die lang genoeg zijn en bijvoorbeeld bestaan uit willekeurige karakters, maak je het een hacker al veel moeilijker.
Bij veel websitepakketen worden er ook gebruikers aangemaakt met een standaardnaam zoals “admin” in Joomla. Zorg er voor dat je de standaardnamen van gebruikers met adminrechten aanpast naar een andere unieke naam. Hiermee verklein je de kans van een hacker om de juiste combinatie van gebruikersnaam én wachtwoord te vinden.
Zorg er daarnaast ook voor dat je een wachtwoord altijd voor slechts één account gebruikt. Heeft een hacker bijvoorbeeld toegang gekregen tot je social media accounts, dan kan hij dit wachtwoord ook gebruiken voor je website en vica versa. Er bestaan handige wachtwoordmanagers zoals LastPass en KeePass waarmee je makkelijk sterke en unieke wachtwoorden kunt genereren en ze op een veilige manier kunt opslaan.
Waarschijnlijk maak jij, naast je laptop of computer, gebruik van een smartphone of tablet. De meeste softwarepakketten bieden tegenwoordig de mogelijkheid om twee-factor authenticatie te activeren. Hiermee moet het inloggen via een gebruikersnaam en wachtwoord, ook nog eens bevestigd worden door een unieke code die wordt verzonden naar je mobiele apparaat via een authenticatie app of via een SMS’je.
Een hacker moet in dit geval dus toegang hebben tot jouw gebruikersnaam, wachtwoord én mobiele apparaat om in te kunnen loggen. De kans om in te kunnen loggen met jouw gegevens wordt hierdoor substantieel kleiner. Per softwarepakket zijn er andere stappen om twee-factor-authenticatie te activeren, raadpleeg daarom de handleiding van jouw contentmanagementsysteem. Een handige authenticatie app die je trouwens kunt gebruiken voor twee-factor authenticatie is Google Authenticator. Deze app is gratis beschikbaar voor iOS en Android.
Wist je dat je twee-factor authenticatie tegenwoordig ook in kunt schakelen voor Mijn Account? Ga hiervoor naar ‘Mijn gegevens’ in het menu, klik op ‘Instellen’ bij twee-factor authenticatie en doorloop het authenticatie proces. Hiermee maak je het inloggen op Mijn Account ook meteen veiliger.
De meeste mensen hebben geen eigen servers en besteden het hosten van een website daarom volledig uit aan een hostingpartij. Jouw website wordt dan gehost op een server binnen een datacenter. De servers en aanverwante infrastructuur maken gebruik van eigen software. Hiervoor worden, net als voor jouw CMS, ook regelmatig beveiligingspatches uitgebracht. Het is dan van belang dat deze servers zo snel mogelijk worden geüpdated. Anders zijn alle websites en data die op z’n server gehost worden in één klap kwetsbaar, met alle potentiële gevolgen van dien.
Het klinkt logisch dat security hoog op het prioriteitenlijstje zou moeten staan van een hostingprovider maar helaas is dit niet altijd het geval. Wil je een goede indicatie of dit het geval is? Let bij het selecteren van een hostingpartij dan bijvoorbeeld op het gebruik van antivirus en firewalls. Wordt er gewerkt volgens ISO-standaarden? Maken ze gebruik van encryptie en wat is het beleid om de impact van DDoS-aanvallen te beperken? Last but not least: worden er regelmatig backups gemaakt zodat je na een eventuele hack snel kunt terugvallen op een recente kopie van je website. Je bent zo sterk als je zwakste schakel. Als je zelf alle verantwoordelijkheden hebt genomen voor een veilige website, maar de onderliggende infrastructuur van de hostingpartij is erg kwetsbaar, dan ben je nog steeds een makkelijk doelwit.
In dit blogartikel hebben we een aantal tips gedeeld over het beveiligen van je website. Het is wel goed om je te realiseren dat je cybercriminelen nooit volledig uit kunt sluiten. Zelfs de best beveiligde website is uiteindelijk te hacken. Dit zal wel veel meer moeite kosten dan een website die weinig aandacht heeft besteed aan security. Een hacker zal vaak kiezen voor het makkelijke doelwit. Zorg er dus voor dat jouw website geen aantrekkelijke prooi is door deze tips op het gebied van beveiliging toe te (blijven) passen en je bewust te zijn van beveiligingsrisico’s.
Heb je hulp nodig bij een veilige website? Onze klantenservice staat voor je klaar.
2 reacties
Dank voor dit nuttige en uiterst begrijpelijke overzicht.
M vr gr
Bert
—
Bert Kraaijpoel
Beste Bert,
Bedankt voor de reactie. Leuk om te horen dat dit artikel van nut is geweest. Daar doen we het graag voor!
Met vriendelijke groet,
Berend