Elke zomer is het weer raak: duizenden websites worden gehackt door 'script kiddies', oftewel jonge gastjes die een beetje kunnen programmeren, die zich blijkbaar vervelen in de vakantieperiode.
Zorg daarom dat jouw website veilig is. In dit artikel lees je hoe.
De gevolgen voor de eigenaren van gehackte websites zijn vaak ernstig.
Zo ging in 2011 het bedrijf Diginotar zelfs failliet door een eigenlijk vrij simpele hack van hun website.
Een belangrijk onderdeel van het duurzaam beheren van je website is dan ook de beveiliging.
De meeste 'gewone' websites hebben niet het budget dat nodig is om elk risico uit te sluiten.
Cybercriminelen
Als een zwaar beveiligde website toch wordt gehackt, is het meestal het werk van professioneel werkende cybercriminelen. Daar kun je veel tegen doen, maar dat kost ook veel geld. Verreweg de meeste 'gewone' organisaties hebben niet het budget dat nodig is om elk risico uit te sluiten. Net zomin als dat je jouw kantoor op dezelfde manier beveiligt als een bank haar kluis. Maar zodra je je kantoor verlaat, zet je toch wel het alarm aan? En controleer je of er geen ramen open staan? De meeste hacks van 'gewone' websites zijn eenvoudig te voorkomen
Veiligheidslekken
Zoals ik in de inleiding al aangaf, de meeste hacks van 'gewone' websites zijn eenvoudig te voorkomen. Ze zijn niet interessant genoeg voor de professionele cybercriminelen om er veel tijd aan te besteden.
In 99% van de gevallen gaat het om hobby-hackers of professionele hackers die grotendeels geautomatiseerd gebruik maken van bekende veiligheidslekken in de software waarop je website draait. Meestal een CMS zoals bijvoorbeeld WordPress.
Met name WordPress is populair bij hackers, omdat zo'n 60% van alle websites erop draait. De keerzijde van het gemak waarmee je in WordPress plugins kunt installeren is dat deze vaak kwetsbaar zijn voor veiligheidslekken. Internet veiligheidsexperts ontdekken dagelijks nieuwe veiligheidslekken, oftewel 'exploits'. Vooral in plugins.
Daarnaast zien we steeds meer geautomatiseerde, professionele aanvallen met als doel om de server waarop je website wordt gehost te gebruiken in een 'botnet' om spam te versturen of DDOS-aanvallen mee te doen. Tip: gebruik een eigen dedicated server zodat je geen last hebt van aanvallen op andere sites waarmee je een server deelt.
Wat kan je doen?
Hieronder volgen 5 maatregelen die je kunt treffen om ervoor zorgen dat je website moeilijk te hacken is. In ieder geval zo moeilijk, dat verreweg de meeste hackers er niet aan zullen beginnen (of ze moeten jouw website echt heel graag te grazen willen nemen om wat voor reden dan ook).
De 6e maatregel kun je treffen als je 2-5 liever niet zelf doet.
1) Ga verstandig om met login naam en wachtwoord
Zorg dat je beheeromgeving alleen via een beveiligde verbinding te benaderen is. Hierbij worden de gegevens versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens je verstuurt.
Gebruik indien mogelijk multi-factor authenticatie. Hierbij wordt er naast login naam en wachtwoord ook gebruik gemaakt van een extra beveiliging laag op basis van (een van) de volgende criteria:
- Iets wat de gebruiker weet (b.v. wachtwoord, PIN)
- Iets wat de gebruiker heeft (b.v. bankpas, smart card, mobiele telefoon)
- Iets wat de gebruiker is (b.v. biometrische eigenschappen, zoals een vingerafdruk)
Gebruik nooit een loginnaam als admin, of administrator. Gebruik een moeilijk te kraken wachtwoord. Het nadeel is dat die ook moeilijk is te onthouden.
Maar als je een dienst als LastPass of 1Password gebruikt kun je verschillende moeilijke wachtwoorden ontsluiten via één veilig, maar goed te onthouden sleutelwachtwoord. Op die manier is het ook niet zo lastig om bijvoorbeeld elk kwartaal je wachtwoord te veranderen. Maar, helaas, ook hiermee is het toch oppassen geblazen.
2) Zorg dat je CMS software up-to-date is
De feitelijke oorzaak van verreweg de meeste hacks is dat de beheerders van de website hebben verzuimd om tijdig de beveiligingsupdates te installeren die de leveranciers van de software uitbrengen.
In het geval van Diginotar was het CMS al 3 jaar niet meer van updates voorzien, waardoor er talloze bekende veiligheidslekken in zaten.
Elke 14-jarige nerd in de dop kon met wat bij elkaar gegooglede informatie eenvoudig deze website hacken.
Zorg er dus voor dat je CMS software altijd up-to-date is met de laatste security patches.
Let er op dat wanneer je een update doorvoert op je website, je altijd ook goed test of alles nog naar behoren werkt.
Bij Mediaweb werken we met een acceptatieomgeving die een kopie is van de live website om elke update aan de website eerst te testen en aan onze klanten voor te leggen.
Pas als dat goed is gegaan, zetten we de wijzigingen door naar de live site. En ook dan testen we opnieuw of alles nog naar behoren werkt. Onze workflow hiervoor zie je in de afbeelding hieronder:
3) Beveilig je website tegen 'brute force attacks'
Een gemiddelde website ontvangt enkele tienduizenden mislukte inlogpogingen per dag. Die van jou ook.
Als het goed is, zorgt je webhoster ervoor dat elke bron van veel mislukte inlogpogingen automatisch wordt geblokkeerd.
Dit is namelijk nogal technisch werk en hoe verder af van je website in het netwerk je ingrijpt, hoe effectiever het is.
Wat je zelf wel sowieso kunt doen is de URL van je beheer inlog pagina veranderen, zodat het niet meer de standaard URL is. Verander bijvoorbeeld bij WordPress /wp/wp-login.php in /beheer/ o.i.d. waarbij de pagina wp-login.php wordt verborgen. Dat scheelt al veel geautomatiseerde brute force attacks op jouw website.
4) Beveilig je website tegen malware
Malware is kwaadaardige software die hackers op je server plaatsen om de computers van je nietsvermoedende bezoekers te infecteren.
Google scant sites op de aanwezigheid van Malware en zet elke dag zo'n 6.000 websites op de zwarte lijst omdat ze zijn geïnfecteerd. Geen fijn plaatje als de bezoekers van je website dit zien:
Scan daarom preventief je website regelmatig op de aanwezigheid van Malware en treedt gelijk op zodra je malware vindt.
Een heel handige hulp daarbij is Google Search Console (voorheen Webmaster Tools) van Google. Je vindt hier een verzameling goede tools om de gezondheid van je website te monitoren.
Mocht je website geïnfecteerd zijn met Malware en Google heeft je geblokkeerd dan kun je zelf via Search Console een aanvraag indienen om gezond verklaard te worden.
5) Zorg dat er altijd een recente backup van je site is
Mocht de schade die door hackers is aangericht groot zijn, dan kun je in ieder geval snel een goede versie van de website terugzetten.
Speciaal voor WordPress gebruikers nog wat handige tips van Web Monkey:
https://www.youtube.com/watch?v=2VKz46PTgVk
6) Laat punten 2 t/m 5 en meer door een specialist verzorgen
Laten we eerlijk zijn: voor de meesten van ons is het zelf beheren van de veiligheid van een website teveel gevraagd.
De discipline is moeilijk op te brengen en de kennis nog moeilijker op peil te houden.
Daarom is het geen gek idee om deze belangrijke taak uit te besteden aan een (WordPress) beveiliging specialist. Iemand met verstand van zaken, zodat jij er helemaal geen omkijken meer naar hebt.
Tip: als je met je laptop of telefoon gebruik maakt van een wifi-verbinding die je niet 100% vertrouwt, zorg er dan altijd voor dat je een VPN van een betrouwbare leverancier gebruikt. Zelf gebruik ik NordVPN al geruime tijd tot grote tevredenheid.
Dit artikel werd oorspronkelijk gepubliceerd op 8 augustus 2013, maar volledig bijgewerkt en up-to-date gebracht op 2 juli 2015 en nogmaals op 6 juli 2017.