Hoe hacking voorkomen?
De beveiliging van uw website kan ervoor zorgen dat de website niet wordt gehackt, maar kan ook de veiligheid van bezoekers garanderen. Gelukkig nemen meer website-eigenaren de beveiliging van hun website serieus, vanwege strengere wetgeving (meldplicht datalekken) of Google ’s voorkeur naar veilige websites zonder malware.
Waar moeten we ons tegen beschermen?
Hackers die persoonlijke informatie van onze bezoekers zoeken is één van de grootste bedreigingen. De laatste jaren is er veel om te doen geweest. Nieuwe wetten die bedrijven en organisaties verplichten om datalekken te melden. Wanneer de beveiliging van de website niet in orde is of er is sprake van een reeks aan datalekken waarbij de gegevens misbruikt worden, kunnen er boetes uitgeschreven worden.
Ook bescherming tegen hackers die uw website willen overnemen is noodzakelijk. In dit geval merkt u het hacken meestal niet op en wordt uw website gebruikt in een DDoS-aanval. Meestal gebruiken deze hackers bekende kwetsbaarheden zoals uw CMS of CMS-plug-ins.
Spambots misbruiken dan weer formulieren of reactie mogelijkheden om spamlinks te plaatsen. Dit probleem wordt algemeen onderschat, maar vaak verwijzen deze geplaatste links naar websites met phishing of malware. Als u deze links op uw site achterlaat, installeert u eigenlijk malware bij uw bezoekers.
De COPIXA checklist
Deze lijst is bedoeld voor iedereen die een website beheert. Van lokale sportclubs tot de websites van multinationals. We hebben allemaal te maken met hackers en spambots en moeten verantwoord omgaan met de bezoekersgegevens.
Voor veel van deze punten is het handig om te weten hoe je een back-up maakt en hoe je plug-ins of modules installeert.
1 Hou alles steeds up-to-date (!)
Vooral voor opensource-CMS is het erg belangrijk om de CMS en plug-ins bij te werken. Open source heeft veel voordelen, maar één van de nadelen is dat als uw software verouderd is, deze kwetsbaarheden kan bevatten die hackers gebruiken om uw website over te nemen.
2 Beperking in aantal plug-ins
Met veel plug-ins of modules kunt u andere schakels toevoegen. Er hoeft maar één van deze plug-ins of modules een beveiligingslek te bevatten om ervoor te zorgen dat uw website wordt gehackt. Daarom moeten modules en plug-ins met mate worden gebruikt en steeds up-to-date worden gehouden.
Mogelijk hebt u enkele modules of plug-ins geïnstalleerd tijdens het bouwen van de website die u nu niet langer gebruikt . Dit betekent niet dat deze code niet meer beschikbaar is.
Dit geldt voor CMS-plug-ins en modules, maar ook voor andere software. Bijvoorbeeld de core software van de website. Deze is over het algemeen toegankelijk voor hackers indien niet meer onderhouden.
3 SSL-certificaat - HTTPS
Het slotje dat u bij beveiligde websites ziet, bevindt zich aan de linkerkant van het website adres. Dit betekent dat het verkeer tussen de browser en de server versleuteld is.
Gelukkig is dit een vrij standaard beveiliging geworden. Een deel van de redenen is dat men door overheidsorganisaties gedwongen wordt om HTTPS te gebruiken. Daarenboven plaatst Google sites zonder HTTPS-verbindingen lager in de zoekresultaten.
Er zijn verschillende manieren om uw website te beschermen via HTTPS. Als je hier meer over wilt weten, lees dan: HTTP vs. HTTPS
4 Krachtige wachtwoorden
De meeste mensen gebruiken nog steeds wachtwoorden zoals 123456, hun naam of geboortejaar. Doe dit niet want het is niet veilig. Dergelijke wachtwoorden worden er snel uitgepikt door programma's die dit automatisch kraken. Ook worden wachtwoorden razendsnel door een woordenboek gehaald of worden via een 'cyberaanval' alle mogelijke combinaties uitgeprobeerd.
Combineer letters, cijfers en symbolen. Dit maakt uw wachtwoord moeilijker om te kraken. Er bestaan veel verschillende combinaties die u overal in uw wachtwoord of -zin kunt gebruiken.
5 Koppel je website aan Google Search Console
Dit wordt meestal gedaan vanuit een SEO-perspectief. In Google Search Console kunt u zien welke zoektermen een bezoeker gebruikt om op uw site terecht te komen. Daarnaast controleert de Search Console ook uw site op beveiligingsproblemen.
6 Security checks
Deze scans zijn over het algemeen beperkt omdat ze niet zoeken naar zwakke punten in het CMS. Meestal zoeken ze naar HTML-fouten, onveilige instellingen op de hostserver of verkeerde SSL-certificaatinstellingen. Hier zijn enkele bekende beveiligingsscanners:
7 Zorg voor goede hosting
U kunt alle bewerkingen stap voor stap uitvoeren, maar als de hosting provider van uw website de server niet up-to-date kan houden, dan is het dweilen met de kraan open. Het is natuurlijk moeilijk te beoordelen of het hostingbedrijf goed is. Meestal komt u er pas achter als u al een tijdje samenwerkt met de hosting provider.
Problemen kunnen zich altijd voordoen, zelfs bij de beste hostingbedrijven. De beste service die een hostingpartner kan geven, is zorgen dat alles in processen op de correcte manier afgehandeld en gecommuniceerd wordt. Een foutje is en blijft menselijk maar wanneer de hostingpartner dit gaat negeren of ontkennen wordt het vertrouwen en de samenwerking aangetast.
Daarom is een toegankelijke communicatie één van de belangrijkste kenmerken van een goed hostingbedrijf. Ze moeten je snel en efficiënt helpen.
8 Beperk admin-accounts
We zien vaak dat er te makkelijk en te vaak admin-accounts worden uitgedeeld. Admin-accounts kunnen alle bewerkingen in het CMS uitvoeren. Installeren van plug-ins en modules, verwijderen van gebruikers, exporteren uit de database of zelfs de website offline halen. Gebruik deze gebruikersrol daarom met alle voorzichtigheid.
Creëer een meer beperkte rol voor de gebruikers die inhoud kunnen beheren, maar geen modules of plug-ins installeren. Gebruik de beheerdersrol alleen voor mensen die daadwerkelijk alle bewerkingen moeten uitvoeren. Houd een overzicht van alle admin-accounts bij. Worden ze niet meer gebruikt? Als een medewerker bijvoorbeeld geen bewerkingen meer op de website uitvoert of de service wordt onderbroken, verwijder dan deze accounts.
Laat gebruikers nooit inloggen met dezelfde inloggegevens om een admin-account te delen. Maak voor elke gebruiker een eigen account aan.
9 Backups
Voorzie in een back-up plan. Hoe vaak zal een backup uitgevoerd worden? Waar zullen deze backups bewaard worden en wie kan deze terugplaatsen indien nodig. Wanneer u dit niet zelf kunt doen, raden we u aan uw hostingprovider om advies te vragen. Ga er niet standaard vanuit dat het back-up deel uitmaakt van de hostingservice. In veel gevallen is dit niet zo.
Hou ook rekening met de GDPR wetgeving! Rekening houden met de GDPR is niet hetzelfde als een back-upplan. Als u als bedrijf of organisatie wordt gehackt en uw website bevat privégegevens, is het noodzakelijk om dit te melden. Zorg bij de opbouw van uw website voor alle nodige maatregelen om deze wetgeving zo goed mogelijk na te leven. Meer informatie omtrent de noodzakelijke technische maatregelen kunt u terugvinden in onze blogpost: Uw website GDPR compliant maken
Wij zorgen ervoor dat uw website of webshop GDPR compliant is opgebouwd en leveren u alle nodige tools om core en plugins up-to-date te houden en hacking te voorkomen. Benieuwd hoe we dit voor uw bedrijf kunnen realiseren? Neem vrijblijvend contact met ons op!
Start hier met schrijven...