Heeft jouw webwinkel al last gehad van hackers?

De afgelopen weken is er al veel over geschreven in het nieuws: Wachtwoorden 157.000 klanten Nederlandse webwinkel gestolen, Webshops populair doelwit phishing  of 140.000 webwinkels kwetsbaar vanwege Magento-lek, maar ook Fraudepreventie leidt tot weglopen echte klanten.

In september 2014 publiceerde Kaspersky Lab een onderzoek waarin naar voren kwam dat 48% van de webshops financieel gerelateerde informatie was kwijtgeraakt als gevolg van cybercriminele activiteiten. Het onderzoek toonde tevens aan dat het voor webwinkels het minst waarschijnlijk is dat zij ter bescherming van de financiële transacties gespecialiseerde antifraudemaatregelen zullen inzetten en updaten.

Hoe worden webwinkels gehackt?

Cybercriminelen zullen manieren blijven ontwikkelen om webwinkels te kunnen hacken. Een aantal bekende manieren om te hacken:

  • SQL-injections: een hacker probeert via internet toegang te krijgen tot een SQL-gebaseerde database. Dit doet hij door vooraf te checken – via het uitvoeren van verschillende queries op een database – of een database van een webwinkel vatbaar is voor een SQL-injectie. Als de hacker een gaatje heeft gevonden, kan hij toegang krijgen tot de backend van de gehele database.
  • XSS of cross-site scripting: een techniek waarbij hackers door een fout in de beveiliging van een webapplicatie schadelijke code op een webwinkel kunnen plaatsen. Het doel is om gebruikersdata, zoals logingegevens te bemachtigen. Vaak wordt XSS in combinatie met phishing ingezet, waarbij een gebruiker per e-mail wordt gevraagd om op een bepaalde link te klikken. Als die eindgebruiker klikt op de url kan de hacker zijn aanval uitvoeren en bijvoorbeeld de gewenste code op een webwinkel plaatsen.
  • Aanval via cookies: hackers stelen via verschillende manieren de gegevens die zijn opgeslagen middels cookies. Dit gebeurt voornamelijk wanneer gegevens zonder validatie worden ingelezen op een database. Zonder validatie kunnen hackers de cookies eenvoudig aanpassen en toegang krijgen tot gegevens als gebruikersnaam, wachtwoord, adres- en bankgegevens.
  • Verouderde CMS’en of webwinkelsoftware: software en CMS’en die niet up-to-date zijn, bieden hackers de kans om persoonsgegevens als het ware op te rapen. Dit komt doordat het bij oudere versies van een CMS of webwinkelsoftware niet mogelijk is om updates uit te voeren. En deze updates zijn juist nodig om beveiliging optimaal te houden. De kans op beveiligingslekken, waaronder SQL-lekken, is daardoor bij oude software enorm groot. Voor hackers wordt het zo heel eenvoudig om een databestand te stelen of een webwinkel plat te leggen.

Hoe beveilig je je webwinkel tegen acties van buitenaf?

Je kunt je als webwinkel goed beveiligen tegen hack-acties van buitenaf, maar een garantie heb of krijg je nooit. Vijftien onderdelen die bijdragen aan een moeilijker te bereiken online winkel voor hackers op een rij:

    • Blijf op de hoogte van ontwikkelingen: zorg ervoor dat je goed op de hoogte blijft van alle software die in gebruik zijn. Is er een update beschikbaar of zijn er nieuwe/ verbeterde manieren om de software te gebruiken op het gebied van beveiliging dan zal je hier zo snel mogelijk van op de hoogte gebracht willen worden. Denk hierbij niet alleen aan de webwinkelsoftware of het CMS dat gebruikt wordt. Maar ook de mailingsoftware, de bannersoftware en support/ ticketsysteem.
    • Update webwinkelsoftware/ CMS: als er nieuwe updates zijn voor je webwinkelsoftware of het CMS dat je gebruikt, dien je deze na het goed testen en accepteren spoedig toe te passen op de productieomgeving. Als hackers een lek vinden in veelgebruikte webwinkelsoftware of een CMS dan zullen ze geautomatiseerd systemen proberen te infecteren. Het is niet de vraag of, maar wanneer men het lek begint te misbruiken.
    • Installeer SSL-certificaten (of de opvolger TLS): deze encryptieprotocollen zorgen ervoor dat data, zoals wachtwoorden, persoonsgegevens en betaalinformatie, tussen een webwinkel en een bezoeker onleesbaar is voor anderen. Een bijkomend voordeel van SSL-certificaten is dat zoekmachines een hogere reputatie toekennen.
    • Beheer en onderhoud via SSL en geen onbeveiligde WiFi. Voer beheerstaken zoals het verwerken van bestellingen en betalingen altijd uit via een goed beveiligde verbinding. Gebruik een beveiligde HTTP/S-verbinding en gebruik die nooit via een openbaar (gratis) WiFi-netwerk.
    • Maak gebruik van een anti-DDoS-dienst: een dienst die ervoor zorgt dat aanvallen op een server kunnen worden afgewend.
    • Plaats een managed firewall: middels een firewall wordt toegang tot apparatuur gefilterd, waardoor ongewenste bezoekers niet kunnen toetreden.
    • Update firewall: een managed firewall moet regelmatig worden geüpdatet, voorzien van de laatste beveiligingsupdates.
    • Monitoring van de serveromgeving: een dienst die de bereikbaarheid van de servers monitort, waarbij wordt gekeken naar trends, patronen, prestaties, capaciteit en logs. Zo kan afwijkend gedrag in een vroeg stadium worden opgemerkt en aangepakt.
    • Installeer antivirus-software: deze software zorgt ervoor dat computervirussen worden verwijderd. Daarnaast spoort deze software spyware, adware en Trojaanse paarden op en maakt ze onschadelijk.
    • Regel back-ups in: maak een back-upstrategie zodat je, ook in geval van nood, over relevante back-ups beschikt en de continuïteit van je online activiteiten kunt blijven waarborgen.
    • Redundante verbinding: voorkom uitval van je webwinkel door een redundante verbinding van en naar je server. Bij uitval van de ene verbinding neemt de andere verbinding het over.
    • Kies voor betrouwbare hosting: check of de hostingpartij waar je je hosting afneemt zijn veiligheid goed op orde heeft. Bijvoorbeeld door te kijken of de directories van de servers goed zijn afgeschermd. Een goede en betrouwbare hostingpartij regelt veel van de zaken die in dit lijstje staan, zoals updates, SSL-certificaten, anti-DDoS, managed firewall, monitoring en back-upstrategie.
    • Contactformulieren met captchacode: gebruik voor formulieren op je webwinkel een captchacode. Hiermee wordt voorkomen dat geautomatiseerd ongewenste informatie geplaatst kan worden. Deze ongewenste informatie kan linkjes naar ongewenste websites zijn maar ook bijvoorbeeld oneerlijke beoordelingen op producten.
    • Maak gebruik van securityscans: de webwinkel wordt gescand op een aantal beveiligingsrisico’s.
    • Wachtwoorden klanten: laat klanten wachtwoorden aanmaken die bestaan uit meer dan 8 tekens, minimaal 1 vreemd teken en een hoofdletter.
    • Klantgegevens: sla klantgegevens alleen met encryptie op in de database. Sla bovendien alleen klantgegevens op die je daadwerkelijk nodig hebt: vergeet de rest.
    • Maak gebruik van 2 /3 factor authenticatie: Dit is een manier om je online accounts beter te beveiligen. Naast je wachtwoord voer je met deze methode een extra code in die je genereert via bijvoorbeeld je mobiele telefoon.
      Bij 3 factor authenticatie of multifactor authenticatie draait het het bewijzen van een identiteit door een combinatie van verschillende factoren:
  1. Iets wat je kent (een wachtwoord of pincode
  2. Iets wat je hebt (een mobiele telefoon of smartcard)
  3. Iets wat je bent (bijvoorbeeld je vingerafdruk)

De meeste onderdelen kun je dus zelf in de gaten houden. Als je zorgt voor een goede hostingpartij kun je zeker de helft samen met deze partij afstemmen.
Heb jij nog vragen over dit onderwerp, of heb je zelf nog meer tips over het veilig maken van je webwinkel? Praat dan mee in ons #webwinkelforum in de rubriek: Betalen en veiligheid

Patrick Heijmans
Senior Online Marketeer
Patrick Heijmans is een ervaren webwinkeladviseur die vanuit kennis en passie, met professionele en persoonlijke begeleiding startende- en bestaande webwinkeliers helpt om meer uit hun webwinkel te halen.

Patrick Heijmans heeft oa. de website webwinkelvragen opgezet, speciaal voor webwinkeliers ontvang je hier gratis deskundige hulp en advies voor webshop. Patrick is werkzaam bij ikommeurs waar hij als E-commerce manager middelgrote en grote webwinkels adviseert en begeleid.

Contact

Op dit moment zijn we even afwezig, laat een bericht achter en we nemen zsm contact met je op.

Sending

©2017 WebWinkelCommunity

Log in with your credentials

Forgot your details?