Ga naar de hoofdinhoud
Waar ben je naar op zoek?
Inhoudsopgave
Afdrukken

Hoe houd je je website veilig in de lucht? 

In dit artikel leer je waarom het belangrijk is om je beveiliging goed op orde te hebben en welke maatregelen je kan treffen om hackers buiten de deur te houden.

Waarom moet je je site beveiligen?

Als webshop ben je een interessant doelwit voor hackers omdat zij bij webshops klantgegevens kunnen stelen en betalingen omleiden naar een eigen rekening.

Wist je dat?

Hackers richten zich vaak op kleine webshops omdat hier doorgaans de beveiliging slechter is geregeld. 

Als eigenaar van de website word jij verantwoordelijk gesteld en je wordt hard gestraft als blijkt dat je nalatig bent geweest. Je website wordt verwijderd uit de zoekresultaten van Google en de hoster haalt je website offline.

De overheid neemt dit zodanig serieus dat vanaf januari 2016 de nieuwe wet Datalek Meldplicht ingaat. 

Kort gezegd betekent dit dat als er klantgegevens gelekt worden vanaf jouw site jij de plicht hebt het te melden bij het College Bescherming Persoonsgegevens. 

En als aangetoond kan worden dat je nalatig bent geweest in de beveiliging van je site word jij verantwoordelijk gehouden.

Hoe hacken ze jouw website?

Er zijn verschillende methodes om jouw website te hacken. Bekende zijn: “luie hack”, brute force aanval, “professionele hack” en DDoS-aanval.

Verschillende hackmethodes 

Luie hack:

Deze lekken worden meestal gevonden in verouderde extensies/plugins en CMS-systemen. Kleine sites lopen daarbij evenveel risico als grote sites.
Tip: Voer beveiligingsupdates zo snel mogelijk door.

Brute Force aanval:

Bij een Brute Force aanval wordt door middel van een automatisch script geprobeerd de inloggegevens van de website te achterhalen.
Tip: Gebruik niet de standaard gebruikersnaam ‘admin’. En gebruik een wachtwoord met meer dan 8 tekens.
Tip: Er zijn plugins/extensies beschikbaar die gebruikers tijdelijk blokkeren bij meerdere mislukte inlogpogingen. Hiermee wordt het een eventuele hacker al moeilijker gemaakt.

Professionele hack:

Kwaadwillenden met veel technische kennis gaan bewust op zoek naar zwakheden binnen je website. Hoe goed je systeem ook beveiligd is, een echt slimme hacker kan (delen van) je website hacken.
Tip: Blijf updaten, niet alleen je CMS maar ook alle extensies.

DDoS-aanval:

Met een DDoS-aanval krijgen ze geen toegang tot je website maar kunnen deze wel platleggen. Met een DDoS-aanval worden duizenden fictieve webverzoeken op één website verstuurd waardoor de server overbelast raakt en uitvalt. 

Een DDoS-aanval gaat vaak gepaard met een poging tot afpersing. De eigenaar kan dan tegen betaling verijdelen dat de DDoS-aanval wordt uitgevoerd.

Tip: Zelf kun je weinig doen tegen een DDoS-aanval. Vraag je hosting-partij welke maatregelen zij hiertegen nemen.

Let op: Als er bij een hack klantgegevens zijn gelekt ben je verplicht dit te melden bij het College Bescherming Persoonsgegevens.

Het voorkomen van een hack

Wat kan je doen om de kans op gehackt worden zo klein mogelijk te maken? Als je zelf niet technisch bent, dan is het belangrijk om samen te werken met een partij die verstand heeft van beveiliging. Een webdevelopment-bureau bijvoorbeeld.

Gebruik een SSL-certificaat: Een SSL-certificaat versleutelt al het verkeer tussen jouw server en de browser van je bezoeker. Naast dat een SSL-certificaat veiliger is, wekt het ook het vertrouwen van de klant.

Kies een moeilijk wachtwoord: Een wachtwoord hoeft niet per se ingewikkeld te zijn, zo lang het maar lang is. Het kraken van een wachtwoord van 9 tekens duurt met behulp van een Brute Force aanval bijvoorbeeld gemiddeld 20 jaar.

Log niet in op je site bij internetcafés en open wifi’s: Tijdens de vakanties zien hostingpartijen een toename op het aantal gehackte websites. Neem op vakantie je eigen laptop mee.

Wat moet een webdeveloper doen?

Zorg ervoor dat je webdeveloper en hostingpartij regelmatig de software van jouw site en van de server updatet, en dat de huidige versie de meest veilige is. Laat met vaste regelmaat je website updaten.

Hoe groter het gat tussen de versies, hoe ingewikkelder (en duurder) de update is.

Neem het updaten van de website mee in de workflow zodat er geen achterstallig onderhoud ontstaat. Sommige softwaresystemen brengen bij een nieuw ontdekt lek niet direct een nieuwe versie-update uit, maar dichten het lek eerst met een patch.

Als site-eigenaar moet je deze zelf op je site installeren. Het is van groot belang dit binnen enkele uren te doen.

Nadat een lek wordt gevonden gaan hackers gaan direct op zoek naar kwetsbare websites.

Het is voordeliger om een grote update te doen als er een urgent veiligheidsrisico’s is, dan om bij elke release een update te doen.

Wist je dat?
Kwaadwillenden kunnen vaak heel makkelijk ontdekken via welke URL de backend van jouw site te benaderen is. Voor veel websites is dit www.jouwdomein.nl/admin. Dit is makkelijk te raden voor kwaadwillenden.

Tip: Verander daarom het adres waarmee je naar de back-end van je website kan.

Een stap verder is om dit adres te beveiligen met een wachtwoord. Je moet dan eerst een wachtwoord invoeren om naar dit adres te kunnen gaan.

Daarnaast kan je instellen dat inlogpagina van je back-end alleen toegankelijk is voor een rijtje vooraf geselecteerde IP-adressen.

Probeer zo veel mogelijk de standaardinstellingen van het CMS te veranderen zodat het voor kwaadwillenden moeilijker wordt om de website te hacken.

Je kunt een heleboel zelf doen om hacks te voorkomen, maar voor de beveiliging van de server en de infrastructuur ben je afhankelijk van je hostingpartij.

Tip: Ga daarom ook na welke maatregelen je hostingpartner neemt om jouw website veilig te houden.

Wat kan je hostingpartij doen?

De standaardinstellingen van de server aanpassen. Door de standaardinstellingen te veranderen wordt het hackers al moeilijker gemaakt.

Up-to-date houden van software. Het is de verantwoordelijkheid van de hostingpartij om gebruik te maken van de meest veilige versie van software en modules op infrastructuur- en platformniveau. De meest veilige versie is daarbij niet altijd de meest recente.

Firewall installeren: Een hostingpartij heeft de mogelijkheid om ongewenst verkeer met behulp van een firewall de toegang te ontzeggen. Dit kan per individueel IP-adres, maar ook op het niveau van een heel land.

Als een gevaarlijk veiligheidslek in jouw webshopsoftware bekend wordt, kunnen hostingpartijen soms al de eerste veiligheidsmaatregelen nemen op serverniveau. Maar let wel, zorg er altijd voor dat jouw webshop ook zonder die eerste veiligheidsmaatregelen veilig is door te updaten of te patchen.

DDoS-aanvallen afweren: Je hostingbedrijf kan een speciale server plaatsen voor de server waar je site op staat die DDoS-aanvallen herkent en kan deze afvangen zodat je website hier geen last van heeft.
Tip: Zoek een hostingpartij die je proactief attendeert op nieuwe updates en waarschuwt voor veiligheidslekken.

Wat te doen als je toch gehackt bent?

Tip: Gehackt? Vang je bezoekers op!

Zodra een hostingpartij door heeft dat je website is gehackt, zullen ze je website uitzetten om misbruik, imagoschade en Google-straffen voorkomen.

Leid je bezoekers (via een redirect) naar een simpele pagina waarop je uitlegt dat je site snel weer bereikbaar zal zijn. Je webdeveloper kan je hierbij helpen.

Zoek een goede partner die het voor je oplost: Het vergt wat technische kennis om je website weer op orde te krijgen. Schakel hiervoor een deskundige partner in.

Denk niet te snel dat je webshop weer helemaal schoon in. Neem de tijd om alles goed na te lopen.

Let op: Zijn er klantgegevens gelekt? Informeer dan het College Bescherming Persoonsgegevens en eventueel je klanten.

Ga samen met een developer na of er back-doors zijn geplaatst. Dit zijn ‘achterdeurtjes’ waarmee kwaadwillenden weer eenvoudig toegang kunnen krijgen tot de site.