Houd je website veilig: 6 nuttige tips voor een marketeer om zelf te doen of uit te besteden

Elke vakantie is het weer raak: duizenden websites worden gehackt door ‘script kiddies‘, oftewel jonge gastjes die een beetje kunnen programmeren, die zich blijkbaar vervelen in de vakantieperiode. Zorg daarom dat jouw website veilig is. In dit artikel lees je hoe. De gevolgen voor de eigenaren van gehackte websites zijn vaak ernstig. Zo ging in 2011 het bedrijf Diginotar zelfs failliet door een eigenlijk vrij simpele hack van hun website. Een belangrijk onderdeel van het duurzaam beheren van je website is dan ook de beveiliging. De meeste ‘gewone‘ websites hebben niet het budget dat nodig is om elk risico uit te sluiten. 

Cybercriminelen

Als een zwaar beveiligde website toch wordt gehacked, is het meestal het werk van professioneel werkende cybercriminelen. Daar kun je veel tegen doen, maar dat kost ook veel geld. Verreweg de meeste  ‘gewone‘ organisaties hebben niet het budget dat nodig is om elk risico uit te sluiten. Net zomin als dat je jouw kantoor op dezelfde manier beveiligt als een bank haar kluis. Maar zodra je je kantoor verlaat, zet je toch wel het alarm aan? En controleer je of er geen ramen open staan? De meeste hacks van ‘gewone’ websites zijn eenvoudig te voorkomen

Veiligheidslekken

Zoals ik in de inleiding al aangaf, de meeste hacks van ‘gewone’ websites zijn eenvoudig te voorkomen. Ze zijn niet interessant genoeg voor de professionele cybercriminelen om er veel tijd aan te besteden.

In 99% van de gevallen gaat het om hobby-hackers of professionele hackers die grotendeels geautomatiseerd gebruik maken van bekende veiligheidslekken in de software waarop je website draait. Meestal een CMS zoals bijvoorbeeld WordPress.

Met name WordPress  is populair bij hackers, omdat zo’n 60% van alle websites erop draait. De keerzijde van het gemak waarmee je in WordPress plugins kunt installeren is dat deze vaak kwetsbaar zijn voor veiligheidslekken. Internet veiligheidsexperts ontdekken dagelijks nieuwe veiligheidslekken, oftewel ‘exploits’. Vooral in plugins.

Daarnaast zien we steeds meer geautomatiseerde, professionele aanvallen met als doel om de server waarop je website wordt gehost te gebruiken in een ‘botnet‘ om spam te versturen of DDOS-aanvallen mee te doen.

Wat kan je doen?

Hieronder volgen 5 maatregelen die je kunt treffen om ervoor zorgen dat je website moeilijk te hacken is. In ieder geval zo moeilijk, dat verreweg de meeste hackers er niet aan zullen beginnen (of ze moeten jouw website echt heel graag te grazen willen nemen om wat voor reden dan ook). De 6e maatregel kun je treffen als je 2-5 liever niet zelf doet.

1) Ga verstandig om met login naam en wachtwoord

Zorg dat je beheeromgeving alleen via een beveiligde verbinding te benaderen is. Hierbij worden de gegevens versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens je verstuurt.

Gebruik indien mogelijk multi-factor authenticatie. Hierbij wordt er naast login naam en wachtwoord ook gebruik gemaakt van een extra beveiligingslaag op basis van (een van) de volgende criteria:

• Iets wat de gebruiker weet (b.v. wachtwoord, PIN)
• Iets wat de gebruiker heeft (b.v. bankpas, smart card, mobiele telefoon)
• Iets wat de gebruiker is (b.v. biometrische eigenschappen, zoals een vingerafdruk)

Gebruik nooit een loginnaam als admin, of administrator. Gebruik een moeilijk te kraken wachtwoord. Het nadeel is dat die ook moeilijk is te onthouden.

Maar als je een dienst als  LastPass of  1Password gebruikt kun je verschillende moeilijke wachtwoorden ontsluiten via één veilig, maar goed te onthouden sleutelwachtwoord. Op die manier is het ook niet zo lastig om bijvoorbeeld elk kwartaal je wachtwoord te veranderen. Maar, helaas, ook hiermee is het toch oppassen geblazen.

2) Zorg dat je CMS software up-to-date is

De feitelijke oorzaak van verreweg de meeste hacks is dat de beheerders van de website hebben verzuimd om tijdig de beveiligingsupdates te installeren die de leveranciers van de software uitbrengen. In het geval van Diginotar was het CMS al 3 jaar niet meer van updates voorzien, waardoor er talloze bekende veiligheidslekken in zaten. Elke 14-jarige nerd in de dop kon met wat bij elkaar gegooglede informatie eenvoudig deze website hacken. Zorg er dus voor dat je CMS software altijd up-to-date is met de laatste security patches. Let er op dat wanneer je een update doorvoert op je website, je altijd ook goed test of alles nog naar behoren werkt. Bij Mediaweb werken we met een acceptatieomgeving die een kopie is van delive website om elke update aan de website eerst te testen en aan onze klanten voor te leggen. Pas als dat goed is gegaan, zetten we de wijzigingen door naar de live site. En ook dan testen we opnieuw of alles nog naar behoren werkt. Onze workflowhiervoor zie je in de afbeelding hieronder:

3) Beveilig je website tegen ‘brute force attacks’

Een gemiddelde website ontvangt enkele tienduizenden mislukte inlogpogingen per dag. Die van jou ook. Als het goed is, zorgt je webhoster ervoor dat elke bron van veel mislukte inlogpogingen automatisch wordt geblokkeerd. Dit is namelijk nogal technisch werk en hoe verder af van je website in het netwerk je ingrijpt, hoe effectiever het is.

Wat je zelf wel sowieso kunt doen is de URL van je beheerinlogpagina veranderen, zodat het niet meer de standaard URL is. Verander bijvoorbeeld bij WordPress  /wp/wp-login.php in /beheer/ o.i.d. waarbij de pagina wp-login.php wordt verborgen. Dat scheelt al veel geautomatiseerde brute force attacks op jouw website.

4) Beveilig je website tegen malware

Malware is kwaadaardige software die hackers op je server plaatsen om de computers van je nietsvermoedende bezoekers te infecteren. Google scant sites op de aanwezigheid van Malware en zet elke dag zo’n 6.000 websites op de zwarte lijst omdat ze zijn geïnfecteerd. Geen fijn plaatje als de bezoekers van je website dit te zien krijgen. Scan daarom preventief je website regelmatig op de aanwezigheid van Malware en treedt gelijk op zodra je malware vindt.

[alert type=”info” title=”Wilt u weten welke marketing opleiding bij u past? “] Klik hier en u weet het direct

Een heel handige hulp daarbij is Google Search Console (voorheen Webmaster Tools) van Google. Je vindt hier een verzameling goede tools om de gezondheid van je website te monitoren. Mocht je website geïnfecteerd zijn met Malware en Google heeft je geblokkeerd dan kun je zelf via Search Console een aanvraag indienen om gezond verklaard te worden.

5) Zorg dat er altijd een recente backup van je site is

Mocht de schade die door hackers is aangericht groot zijn, dan kun je in ieder geval snel een goede versie van de website terugzetten. Speciaal voor WordPress gebruikers nog wat handige tips van Web Monkey.

6) Laat punten 2 t/m 5 en meer door een specialist verzorgen

Laten we eerlijk zijn: voor de meesten van ons is het zelf beheren van de veiligheid van een website teveel gevraagd.

De discipline is moeilijk op te brengen en de kennis nog moeilijker op peil te houden. Daarom is het geen gek idee om deze belangrijke taak uit te besteden aan een (WordPress) beveiliging specialist. Iemand met verstand van zaken, zodat jij er helemaal geen omkijken meer naar hebt.

Bron: Mediaweb CopyRobin

Auteur: Erik van Hall begon z’n carrière als copywriter en filmregisseur/-producent. In 1994 raakte hij gefascineerd door het destijds prille ‘world wide web’. In 1995 richtte hij internetbureau Mediaweb op. Sindsdien is het zijn missie om het web aangenamer te maken voor gebruikers en meer winstgevend voor bedrijven. Met Mediaweb heeft hijhonderden websites gebouwd voor talloze opdrachtgevers. In 2015 verkocht hij Mediaweb en startte CopyRobin. Met CopyRobin helpt Eric organisaties aan unieke, professionele teksten voor jun website, blog, nieuwsbrief, social media en andere publicaties. Eric heeft een fijne neus voor waar het web naar toe gaat en waar je als online marketeer op moet letten. Hij is van mening dat het web, nu het is bevrijd van de desktop, pas echt gaat beginnen. You ain’t seen nothing yet!

Mogelijk ook interessant

In het verlengde van de inhoud van de artikelen op onze website, biedt Utrecht Business de mogelijkheid op het onderwerp/vakgebied een opleiding te volgen. Hiertoe worden verschillende varianten aangeboden.