Website beveiligen: zo doe je dat

Helaas komt het vaak voor dat websites worden gehacked of beschadigd. Het beveiligen van uw website moet dan ook hoge prioriteit hebben. U kunt uw website al op een laagdrempelige wijze beveiligen. Technische kennis is niet vereist.

Echter, voor een goed beveiligde website zult u wel wat investeringen moeten doen. Bijvoorbeeld door een SSL certificaat aan te schaffen, wat een standaard vereiste is. Ook is het goed om bijvoorbeeld Security Headers in te stellen. Daarvoor is wel meer technische kennis nodig.

In dit blogartikel geven we kort een aantal redenen waarom het beveiligen van uw website belangrijk is. We geven ook een aantal tips. We raden u aan om onze gratis whitepaper te downloaden waarin we veel meer advies geven over hoe u uw website kunt beveiligen.

Waarom moet ik mijn website beveiligen?

Een website loopt altijd risico’s. Denk aan een hacker die een stukje code op uw website weet te plaatsen door een kwetsbaarheid in een formulier te misbruiken. Of een hacker die uw website kopieert en op een ander webadres weergeeft. Bezoekers van die site denken dat ze op uw site zitten. Dit kan gevaarlijk zijn.

Een aanval op uw website kan veel problemen geven. We noemen er (slechts) een aantal:

  • ‘Defacement’ van uw website (waarbij de layout en/of functionaliteit kapot wordt gemaakt);
  • Een Denial-of-Service (DoS) of Distributed Denial of Service (DDoS) aanval, waarbij uw website niet meer bereikbaar is of functioneert;
  • Een hacker die gevoelige informatie verkrijgt, zoals betalingsgegevens;
  • Een hacker die de controle over uw website overneemt.

De gevolgen zijn doorgaans niet beperkt tot financiële schade. De maatregelen om deze problemen te herstellen zijn kostbaar. Daarnaast is er ook het verlies van omzet, van klantvertrouwen, enz. Als een derde vertrouwelijke gegevens in handen krijgt kan dit leiden tot een officieel datalek, met een flinke boete als blijkt dat u niet de benodigde maatregelen heeft genomen om dit te voorkomen.

Voor een onderzoek van Imperva zijn enquetes afgenomen onder bedrijven in verschillende landen. In het overzicht hieronder ziet u de top 10 landen met het percentage van de ondervraagde bedrijven die in 2018 is gehacked of waar malware is gevonden.

Hoe kan ik mijn website beveiligen?

Er zijn verschillende manieren om uw website te beveiligen. We hebben zojuist al de Security Headers genoemd. Die zijn wat technischer. Die werken we uit in onze gratis whitepaper. Hieronder volgen een aantal laagdrempelige maatregelen die u in ieder geval kunt nemen.

In de whitepaper werken we daarnaast nog meer maatregelen uit. Sommige wat technischer van aard en anderen moeten via een betaald middel worden ingericht. Waarom zijn er zoveel maatregelen? Helaas omdat er ook zoveel verschillende manieren zijn om uw website te hacken. 

Hackers besteden er al hun tijd aan om hoe dan ook kwetsbaarheden in systemen te vinden. Er worden dus altijd weer nieuwe kwetsbaarheden gevonden. Doorgaans is het aan uw hostingprovider om maatregelen te nemen. Echter, niet in alle gevallen heeft uw hostingprovider er iets mee te maken. Ook de gebruiker van uw website kan per ongeluk misleid en misbruikt worden. Bijvoorbeeld middels ‘clickjacking’.

U beveiligt uw website door op de hoogte te zijn van deze kwetsbaarheden en de daarbij behorende maatregelen te implementeren. Dit is (helaas) een doorgaand proces. Met iedere nieuwe ontwikkeling in de techniek, worden ook nieuwe kwetsbaarheden gevonden. De beste manier om uw website te beveiligen is dus door periodiek naar nieuwe maatregelen te zoeken en die te implementeren.

Beveiligingsmaatregelen voor uw website

U kunt op een laagdrempelige wijze uw website beschermen, zonder grote kosten en zonder dat veel technische kennis nodig is. We bespreken kort een aantal maatregelen.

Implementeer multifactor-authenticatie

Als u webapplicaties heeft op uw website, of bijvoorbeeld een inlogportaal, is het goed om multifactor-authenticatie hebben. Niet alleen beschermt u zo uw eigen website en applicaties, u beschermt ook uw gebruikers. 

Een derde kan namelijk de inloggegevens van uw gebruikers achterhalen. Hier zijn talloze opties voor. Echter, met multifactor-authenticatie moet uw gebruiker ook bijvoorbeeld een code invullen waar de hacker niet bij kan. Deze code wordt doorgaans via de telefoon door de gebruiker ontvangen. De hacker zou toegang moeten hebben tot de telefoon om daarbij te kunnen. Dat is onwaarschijnlijk en daarom is dit een goede maatregel.

Wijzig standaard gebruikersnamen en wachtwoorden

Dit is eigenlijk niet eens een tip, maar algemene kennis. U ontvangt doorgaans een wachtwoord en gebruikersnaam van uw leverancier, bijvoorbeeld uw hostingprovider. Dit zijn vaak standaard wachtwoorden die allang zijn achterhaald door hackers. Daarom moet u direct uw credentials wijzigen als u voor de eerste keer inlogt.

Dit geldt ook voor gebruikers die uw applicaties of platform gebruiken. Verplicht hen om hun credentials te wijzigen om hen en uzelf beter te beschermen. 

Deactiveer en verwijder inactieve accounts

Accounts van uw gebruikers, medewerkers en gastaccounts vormen ook een kwetsbaarheid. Controleer daarom regelmatig welke accounts actief zijn en welke niet. Ook accounts van uw werknemers, bijvoorbeeld van marketingmedewerkers die toegang hebben tot de website, moet u controleren.

Inactieve accounts verouderen. De credentials worden niet regelmatig verandert, waardoor ze een kwetsbaarheid gaan vormen. Als er een wisseling is van uw personeel, zorg dan altijd dat een gebruikersaccount wordt overgenomen of gearchiveerd.

Daarnaast is het een must om beperkingen in te richten per gebruikersaccount. Niet iedere gebruiker hoeft alle mogelijkheden op bijvoorbeeld uw website te hebben. Uw marketingafdeling hoeft bijvoorbeeld niet in staat te zijn om de broncode van de website aan te passen. Richt hun gebruikersaccounts dan zo in dat ze dat niet kunnen. Uw ICT-afdeling heeft deze bevoegdheid doorgaans wel nodig. 

Deze maatregel kan overkomen alsof u uw medewerkers niet vertrouwd. Zo moet u het echter niet zien. Hoe meer gebruikers er zijn, hoe groter de risico dat een van hen wordt gehacked. Hoe meer bevoegdheden deze gebruiker heeft, hoe groter de schade wordt. In de whitepaper gaan we daar nader op in.

Controleer de locatie van gegevens

Het is vanwege de AVG verplicht om inzichtelijk te hebben welke gegevens u heeft en waarde zich bevinden. Zorg ervoor dat gegevens die niet op een webserver hoeven te staan, daar niet opstaan. Het is handig om bepaalde documenten in de database van uw website te hebben, maar daar vormen ze ook een extra risico. Sla gegevens die niet op een webserver hoeven te staan ergens anders op, waar toegang moeilijker is te forceren. 

Implementeer periodieke beveiligingsmaatregelen

Er zijn websites en bedrijven die een basic security scan kunnen doen, bijvoorbeeld onze Secity Check. Daarmee kunt u achterhalen of er beveiligingsrisico’s zijn. Voer deze periodiek uit.

Ook kunt u een firewall instellen voor uw applicaties. Dit brengt een extra beveiligingslaag aan waardoor ‘inbreken’ moeilijker wordt.

Richt ‘load balancing’ in

Load balancing is het verdelen van werklast. Als uw website of applicatie op één fysieke server wordt gehost, kan deze door bijvoorbeeld een DDoS aanval worden geblokkeerd. Dan komen er zoveel verzoeken tegelijk binnen dat de server te hard moet werken om alles te verwerken. Als gevolg wordt uw website bijvoorbeeld extreem langzaam of zelfs onbruikbaar.

Bij load balancing wordt uw website gehost op een virtuele server. Deze staat weer verbonden met verschillende servers. Op die manier kan uw website de rekenkracht van meerdere servers tegelijk aanspreken. In het geval van een DDoS aanval schakelt uw website automatisch over op een andere server. 

Bij een DDoS aanval maken heel veel computers tegelijk verbinding met een server en proberen ze zoveel mogelijk webverkeer te creëren, bijvoorbeeld door middels botjes uw webformulier achter elkaar te verzenden. Hiervoor dienen de captcha’s die u kunt aanzetten.

Door het vele webverkeer moet de server zoveel verzoeken tegelijk behandelen dat de rekenkracht het niet meer aan kan. De server zal dan vastlopen. Met load balancing kunnen die verzoeken dus worden verdeeld over verschillende servers. De rekenkracht wordt dus veel groter. Een DDoS aanval moet extreem groot zijn om verschillende servers te kunnen blokkeren. Dit is in de praktijk bijna niet mogelijk.

Beveiligingsmaatregelen voor uw website

In de whitepaper kunt u meer beveiligingsmaatregelen vinden, waaronder de zeer belangrijke Security Headers. Op die manier kunt u zelf aan de slag om uw website en webapplicaties een optimale bescherming te bieden. 

DOWNLOAD WHITEPAPER

Naast de whitepaper bieden wij een gratis Secity Check aan, waarbij wij uw website scannen op risico’s en kwetsbaarheden. U krijgt daarvan een gratis rapport. In combinatie met deze whitepaper kunt u nog beter prioriteiten stellen bij het inzetten van de maatregelen.

SECITY CHECK