Website beveiliging en onderhoud Zelf controleren of je website weerbaar is en goed onderhouden wordt

Bijna elk bedrijf heeft wel een website, de ene is puur ter promotie, de andere functioneert als communicatiekanaal en anderen weer als webshop. Websites fungeren als digitaal bedrijfspand en bevatten vaak veel informatie over je bedrijf en klanten.

Het is daarom belangrijk om je digitale bedrijfspand veilig te houden en goed te onderhouden. In veel gevallen wordt dit werk gedaan door de website bouwer/beheerder. Maar websites worden nog steeds massaal gehackt met kwetsbaarheden die voorkomen konden worden met regelmatige updates, preventieve beveiligingsmaatregelen en goede back-ups.

Ergens gaat er dus iets mis met het maken van weerbare websites en het daarna goed onderhouden hiervan.

Het is daarom belangrijk om zo nu en dan te controleren of je website bouwer/beheerder je website nou echt weerbaar en up-to-date houdt.

Speciaal hiervoor hebben we enkele stappen uitgewerkt zodat je zelf makkelijk kan controleren of je website veilig wordt gehouden.

𝐀𝐟𝐬𝐩𝐫𝐚𝐤𝐞𝐧:

Controleer als eerste welke afspraken er zijn gemaakt met de website bouwer/beheerder. Bekijk de offerte, voorstellen, recente facturen en website om te controleren welke afspraken er zijn gemaakt omtrent beveiliging en onderhoud van je website. Vraag eventueel aan je website bouwer/beheerder welke afspraken en/of voorwaarden er gesteld zijn omtrent deze onderwerpen.

𝐔𝐩𝐝𝐚𝐭𝐞𝐬:

Log in op het dashboard van je website, ga naar het tabblad ‘Updates’ en controleer of er updates beschikbaar zijn. Bij WordPress is dit verdeeld in de algemene versie van WordPress en aparte plug-ins. Bij elke plug-in staat een linkje naar de details, hier is vaak te vinden welke veranderingen er met een update worden gedaan en wanneer deze is uitgekomen.

Controleer hoelang deze update al beschikbaar is, wij raden in het algemeen aan om maximaal 7 dagen te wachten met updaten. Het is veiliger om updates uit te voeren binnen 48 uur, in combinatie met een automatische back-up vooraf zorgt dit voor een weerbaardere website. Er is een klein risico dat een update iets sloopt op de website, maar dit gebeurt in werkelijkheid weinig en is vaak te herstellen aan de hand van een back-up.

𝐁𝐚𝐜𝐤-𝐮𝐩𝐬:

Het is belangrijk om regelmatig back-ups te maken van een website. Een back-up die opgeslagen wordt op dezelfde locatie als de website telt niet als een veilige back-up. Als een aanvaller toegang krijgt tot de website is het ook mogelijk om toegang te krijgen tot deze back-up. Het is dus belangrijk om back-ups te maken die niet bereikbaar zijn voor een aanvaller.

Back-ups worden meestal via een plug-in of server uitgevoerd, als de plug-in methode is gekozen dan is het vaak mogelijk om de instellingen hiervan zelf te controleren. In de andere gevallen is het makkelijker om je website bouwer/beheerder te vragen wat het protocol hiervoor is.

Veilige back-ups krijg je door de 3-2-1 back-up regels te volgen. Meer over de 3-2-1 regel is te vinden in onze blogpost: Hoe zorg je voor een veilige back-up als klein bedrijf.

𝐓𝐨𝐞𝐠𝐚𝐧𝐠:

Toegang krijgen tot het dashboard van je website, is iets wat een cybercrimineel graag wil. Vanaf je dashboard is het mogelijk om alles aan te passen op je website en kan een cybercrimineel toegang krijgen tot alle gegevens op je website. Er zijn verschillende beveiligingsmaatregelen die je kan nemen om dit lastiger te maken voor een cybercrimineel. Controleer welke maatregelen wel en niet aanwezig zijn op je website:

• Afschermen van de login pagina

  Deze maatregel zorgt ervoor dat de standaard login URL niet leidt naar de login pagina. Dit kan helpen om geautomatiseerde scans voor de gek te houden. Handmatige pogingen en geavanceerde scans worden niet tegengehouden met deze maatregel. Voor WordPress is de standaard url: example.com/wp-login.php en example.com/wp-admin

• Brute force bescherming

  Brute force bescherming beperkt toegangspogingen die heel vaak binnen een korte periode worden uitgevoerd. Een cybercrimineel kan bijvoorbeeld honderden wachtwoorden proberen in uur om zo de juiste te raden. Vaak is deze functie ingebakken in de plug-ins Jetpack, Sucuri, Wordfence Security en iThemes Security.

• Captcha

  Captcha’s verifiëren of een gebruiker menselijk is. Zo kan je voorkomen dat een geautomatiseerd systeem probeert in te loggen. Je kan dit vaak herkennen aan het logo van reCAPTCHA of hCaptcha op de desbetreffende pagina. Ook captcha’s zijn te omzeilen maar blokkeren wel een groot aantal inlogpogingen van automatische systemen.

• Minimaliseren van rechten

  Minimaliseren van rechten beperkt de toegang op basis van de rol die je een gebruiker geeft. Gebruikers moeten minimale rechten hebben tot functies op een website. Het geven van de beheerders rol aan alle gebruikers op een website geeft onnodig veel risico bij een succesvolle account overname. Beperk waar dit mogelijk is de rechten van de gebruikers op je website. Je kan dit controleren in Wordpress onder het tabblad ‘Gebruikers’.

• Gebruik maken van een sterk wachtwoord

  Het wachtwoord waar jij mee inlogt op het dashboard is dat een veilig wachtwoord? Een veilig wachtwoord is minimaal 10 tekens lang en bevat een mix van kleine letters, hoofdletters, cijfers en speciale tekens. Als dit niet het geval is, stel dan de vraag: heb ik dit wachtwoord zelf ingesteld of gekregen van de websitebouwer/beheerder. Als dit laatste het geval is, is het streng aan te raden om de bouwer/beheerder te vragen of deze persoon sterke wachtwoorden gebruikt. Meer informatie over sterke wachtwoorden is te vinden in onze blogpost over sterke wachtwoorden voor het MKB en ZZP.

• Gebruik van tweefactor authenticatie

  Tweefactorauthenticatie (2FA) is een beveiligingsmaatregel die naast een wachtwoord een tweede verificatiestap vereist om toegang te krijgen tot een account. Dit kan een eenmalige code zijn die naar een mobiel apparaat wordt gestuurd, een vingerafdrukscan, een smartcard of een andere vorm van verificatie. 2FA verhoogt de beveiliging door te voorkomen dat een aanvaller toegang krijgt tot een account, zelfs als ze het wachtwoord kennen. Het is een effectieve manier om de beveiliging van accounts te versterken en wordt aanbevolen voor gevoelige of belangrijke accounts.

𝐈𝐧𝐭𝐞𝐫𝐧𝐞𝐭.𝐧𝐥

Op de website van internet.nl kan je gratis controleren of je website en e-mail de juiste beveiligingsmaatregelen bevatten. Deze maatregelen zijn technisch en lastig zelf in te stellen. We raden daarom aan om de resultaten te sturen naar je website beheerder zodat deze maatregelen kan nemen aan de hand van de resultaten. Toch hebben we geprobeerd om alle controles uit te leggen, zodat het iets duidelijker wordt wat deze inhouden.

Website

• IPv6: Is je website bereikbaar via een modern internetadres?

  IPv6 is een nieuw systeem voor internet adressen. Het is eigenlijk als een nieuw soort straatnaambordjes voor het internet. Met IPv4 hadden we een beperkt aantal “straatnamen” beschikbaar, wat een probleem werd omdat er zoveel nieuwe apparaten op het internet werden aangesloten. IPv6 lost dit probleem op door veel meer unieke “straatnamen” beschikbaar te stellen.

• DNSSEC: Is je DNS voldoende beveiligd tegen manipulatie van derden?

  Het DNS is als het telefoonboek van het internet, waarin namen van websites (zoals www.example.com) worden omgezet in numerieke IP-adressen waarmee computers elkaar op het internet kunnen vinden.

  DNSSEC voegt een extra laag van beveiliging toe aan dit proces. Het beschermt tegen kwaadwillige aanvallen die proberen de informatie in het DNS te vervalsen of te manipuleren. Stel je voor dat je een belangrijke website bezoekt, zoals je online bank. Met DNSSEC is het veel moeilijker voor hackers om je naar een valse, gevaarlijke website te sturen die zich voordoet als je bank.

• HTTPS: Bied je website een beveiligde verbinding aan?

  HTTPS is als het toevoegen van een speciale, geheime verzegeling aan je enveloppen voordat je ze verstuurt. Deze verzegeling zorgt ervoor dat niemand onderweg de envelop kan openen en de inhoud kan bekijken. Alleen de beoogde ontvanger kan de envelop openen omdat ze de speciale sleutel hebben om de verzegeling te verwijderen.

  Met andere woorden, HTTPS is een manier om ervoor te zorgen dat de informatie die je verzendt via internet, zoals wanneer je een website bezoekt of gegevens verzendt via een formulier, privé en beveiligd blijft. Het beschermt je persoonlijke gegevens tegen nieuwsgierige blikken en zorgt ervoor dat alleen de bedoelde ontvanger ze kan ontcijferen.

• Beveiligingsopties: Heeft je website de juiste beveiligingsopties aan staan?

  De meeste beveiligingsopties vallen onder HTTP-securityheaders, HTTP-securityheaders zijn als specifieke regels die je opstelt om ervoor te zorgen dat je website veiliger is voor zowel jou als je bezoekers. Ze zijn vergelijkbaar met beveiligingsmaatregelen die je neemt om je huis te beschermen.

  Content Security Policy (CSP): Dit is als een lijst met regels die je opstelt voor wie er welkom is in je huis. Met CSP kun je bepalen welke bronnen (zoals scripts, afbeeldingen, enz.) op je website mogen worden geladen. Dit helpt om te voorkomen dat schadelijke code of inhoud wordt uitgevoerd op je website.

  X-Content-Type-Options: Dit is als het markeren van je huis als een specifiek type woning, bijvoorbeeld als een woonhuis. Het vertelt browsers dat ze de ontvangen bestanden moeten interpreteren zoals bedoeld, waardoor bepaalde beveiligingsrisico’s worden verminderd.

  X-Frame-Options: Dit is als het beperken van wie door je voordeur naar binnen kan kijken. Het voorkomt dat je website in een iframe wordt ingeladen op andere websites, wat kan helpen om klikjacking-aanvallen te voorkomen.

  Strict-Transport-Security (HSTS): Dit is als het instellen van een beveiligde toegangspoort voor je huis. HSTS dwingt het gebruik van een beveiligde HTTPS-verbinding af, waardoor het moeilijker wordt voor aanvallers om gevoelige gegevens te onderscheppen.

  Referrer-Policy: Dit is als het controleren van wie je huis betreedt en wie niet. Met deze header kun je bepalen welke informatie over de oorsprong van verkeer (de verwijzende URL) wordt gedeeld wanneer iemand je website bezoekt.

• RPKI: Is je route aankondiging gelijk aan die van RPKI?

  RPKI is als een veiligheidspaspoort voor internetverkeer. Het zorgt ervoor dat de juiste organisaties verantwoordelijk zijn voor de juiste routes op het internet, wat verwarring en misbruik voorkomt. Dit helpt bij het waarborgen van de veiligheid en betrouwbaarheid van het internet.

E-mail

• DMARC, DKIM en SPF: Bevat je e-mailserver over echtheidswaarmerken tegen phishing en spoofing?

  DMARC: DMARC is als een postbode die kijkt naar een pakket en ervoor zorgt dat de afzender echt is. Het voorkomt e-mailspoofing en phishing door de ontvangst van e-mails te controleren en te rapporteren over verdachte activiteiten.

  DKIM: DKIM is als een digitale handtekening voor e-mails. Het bewijst dat een e-mail daadwerkelijk afkomstig is van de beweerde afzender en niet is gewijzigd tijdens de overdracht.

  SPF: SPF is als een lijst met goedgekeurde afzenders voor e-mail. Het controleert of een inkomende e-mail legitiem is door te vergelijken met een lijst van toegestane e-mailbronnen.

• STARTTLS en DANE: Maakt je mailserver gebruik van een beveiligde verbinding?

  STARTTLS: STARTTLS is als het versleutelen van de inhoud van een e-mail tijdens verzending. Het zorgt voor een beveiligde communicatie tussen e-mailservers, vergelijkbaar met het verzenden van een geheim bericht in een versleutelde envelop.

  DANE: DANE is als een sleutel die je gebruikt om de identiteit van een website te verifiëren. Het maakt HTTPS-verbindingen veiliger door het controleren van de digitale certificaten van websites via DNS-records.