Houd je website veilig; vijf nuttige tips

Elke zomer is het weer raak: duizenden websites worden gehackt door ‘script kiddies’, oftewel jonge jongens die een beetje kunnen programmeren en zich blijkbaar vervelen in de vakantieperiode. Zorg daarom dat jouw website veilig is. In dit artikel lees je hoe. De gevolgen voor de eigenaren van gehackte websites zijn vaak ernstig. Zo ging in 2011 het bedrijf Diginotar zelfs failliet door een eigenlijk vrij simpele hack van hun website. Een belangrijk onderdeel van het duurzaam beheren van je website is dan ook de beveiliging.

Cybercriminelen
Als een zwaar beveiligde website toch wordt gehacked, is het meestal het werk van professioneel werkende cybercriminelen. Daar kun je veel tegen doen, maar dat kost ook heel veel geld. Verreweg de meeste ‘gewone’ websites hebben niet het budget dat nodig is om elk risico uit te sluiten. Net zomin als je jouw kantoor net zo beveiligt als een bank zijn kluis. Maar als je je kantoor verlaat, zet je toch wel het alarm aan? En controleer je of er geen ramen open staan?

Veiligheidslekken
Zoals ik in de inleiding al aangaf, de meeste hacks van ‘gewone’ websites zijn eenvoudig te voorkomen. Ze zijn niet interessant genoeg voor de professionele cybercriminelen om er veel tijd aan te besteden. In 99 procent van de gevallen gaat het om hobby-hackers of professionele hackers die grotendeels geautomatiseerd gebruik maken van bekende veiligheidslekken in de software waarop je website draait. Meestal een CMS zoals bijvoorbeeld WordPress. Ze willen doorgaans je server gebruiken in een ‘botnet’ om spam te versturen of DDOS aanvallen mee te doen.

Wat kun je doen?
Hieronder volgen vijf dingen die je kunt ondernemen om ervoor te zorgen dat je website zo moeilijk te hacken is dat verreweg de meeste hackers er niet aan zullen beginnen (of ze moeten jouw website echt heel graag te grazen willen nemen om wat voor reden dan ook).

1) Verander regelmatig je loginnaam en wachtwoord
Zorg dat je beheeromgeving alleen via een beveiligde verbinding te benaderen is. Hierbij worden de gegevens versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens je verstuurt. Gebruik indien mogelijk multi-factor authenticatie. Hierbij wordt er naast login naam en wachtwoord ook gebruik gemaakt van een extra beveiligingslaag op basis van (één van) de volgende criteria:

• Iets wat de gebruiker weet (b.v. wachtwoord, PIN)
• Iets wat de gebruiker heeft (b.v. bankpas, smart card, mobiele telefoon)
• Iets wat de gebruiker is (b.v. biometrische eigenschappen, zoals een vingerafdruk)

Gebruik nooit een loginnaam als admin, of administrator. Gebruik een moeilijk te kraken wachtwoord. Het nadeel is dat die ook moeilijk is te onthouden. Maar als je een dienst als LastPass of 1Password gebruikt kun je verschillende moeilijke wachtwoorden ontsluiten via één veilig, maar goed te onthouden sleutelwachtwoord. Op die manier is het ook niet zo lastig om bijvoorbeeld elk kwartaal je wachtwoord te veranderen.

2) Zorg dat je CMS software up-to-date is
De feitelijke oorzaak van verreweg de meeste hacks is dat de beheerders van de website hebben verzuimd om tijdig de beveiligingsupdates te installeren die de leveranciers van de software uitbrengen. In het geval van Diginotar was het CMS al drie jaar niet meer van updates voorzien, waardoor er talloze zeer bekende veiligheidslekken in zaten. Elke veertienjarige nerd in de dop kon met wat bij elkaar gegooglede informatie eenvoudig deze website hacken. Zorg er dus voor dat je CMS software altijd up-to-date is met de laatste security patches.

3) Beveilig je website tegen ‘brute force attacks’
Een gemiddelde website ontvangt enkele tienduizenden mislukte inlogpogingen per dag. Die van jou ook. Als het goed is, zorgt je webhoster ervoor dat elke bron van veel mislukte inlogpogingen automatisch wordt geblokkeerd. Dit is namelijk nogal technisch werk en hoe verder af van je website in het netwerk je ingrijpt, hoe effectiever het is. Wat je zelf wel sowieso kunt doen is de URL van je beheerinlogpagina veranderen, zodat het niet meer de standaard URL is. Verander bijvoorbeeld bij WordPress  /wp/wp-login.php in /beheer/ o.i.d. waarbij de pagina wp-login.php wordt verborgen. Dat scheelt al heel veel geautomatiseerde brute force attacks op jouw specifieke website.

4) Beveilig je website tegen malware
Malware is kwaadaardige software die hackers op je server plaatsen om de computers van je nietsvermoedende bezoekers te infecteren. Google scant sites op de aanwezigheid van Malware en zet elke dag zo’n 6.000 websites op de zwarte lijst omdat ze zijn geinfecteerd. Geen fijn plaatje als de bezoekers van je website dit zien:

Scan daarom preventief je website regelmatig op de aanwezigheid van Malware en treedt gelijk op zodra je malware vindt. Een heel handige hulp daarbij is Webmaster Tools van Google. Je vindt hier een verzameling goede tools om de gezondheid van je website te monitoren. Mocht je website geïnfecteerd zijn met Malware en Google heeft je geblokkeerd dan kun je zelf via Webmaster Tools een aanvraag indienen om gezond verklaard te worden.

5) Zorg dat er altijd een recente backup van je site is
Mocht de schade die door hackers is aangericht groot zijn, dan kun je in ieder geval snel een goede versie van de website terugzetten.

Photo Credit: dustball via Compfight cc