Hoe voorkom je dat je website wordt gehackt?

Het eerste wat je moet doen als je website gehackt is is direct vaststellen wat de consequenties kunnen zijn voor jezelf, je organisatie, maar bovenal de bezoekers en gebruikers van je website. Je moet als eerste in kaart brengen wat het probleem veroorzaakt heeft waardoor hackers je site überhaupt konden hacken. Dit zodat je je kunt wapenen en er alles aan kunt doen om te voorkomen dat het weer gebeurt. De volgende stap is op een zo open mogelijke wijze je bezoekers en gebruikers op de hoogte stellen van de calamiteiten en vertellen hoe je de zaken op gaat lossen.

Want wanneer je website offline is kost dit je geld. Het kan echter veel schadelijker uitpakken bij nalatigheid en daarmee je hele reputatie schaden met zelfs, zoals we vaak uit de media kunnen vernemen, faillissementen tot gevolg. Denk hierbij aan het voorval met Diginotar, die op een verouderde versie van DotNetNuke draaide of recentelijker de vele voorbeelden rond Joomla, WordPress of Typo3.

5 Manieren waardoor Hackers toegang kunnen krijgen tot je website

In dit artikel geef ik 5 mogelijke manieren waardoor Hackers wellicht toegang hebben gekregen tot je website. De onderstaande lijst bevat enkele veel voorkomende manieren waarop websites worden gehackt, evenals een paar dingen die je kunt doen om je website te beschermen. Lees de punten aandachtig door en doe er je voordeel mee.

1 de Hostingprovider vormt een bedreiging
Het komt vaak voor dat veel websites, die gehost worden door dezelfde hostingprovider, allemaal tegelijk gehackt zijn. In deze gevallen ligt het probleem dan ook meestal bij de hostingprovider. Of hun servers hebben een aantal kwetsbaarheden die worden geëxploiteerd door een hacker of de hackers hebben een manier bedacht om de toegang tot een website op een server te krijgen en gebruiken die website om de andere websites gehost op de server te infecteren.

Om er zeker van te zijn dat dit probleem niet bij je hostingprovider voorkomt of om er zeker van te zijn dat het niet aan je hostingprovider ligt is het goed om je gehackte website direct te melden bij je hostingprovider.

Als je gastheer een slechte staat van dienst heeft als het gaat om gehackte websites, moet je overwegen om je website te verplaatsen (migreren) naar een andere hostingprovider die een betere beveiliging heeft geïmplementeerd voor hun servers. De tip goedkoop is duurkoop lijkt mij hier op zijn plaats.

2 je eigen computer of de web developer vormt een bedreiging
Soms zit de kern van het probleem in de achterliggende computers die gebruikt worden om websites te ontwikkelen en niet in de websites zelf. Hackers kunnen computers, bijvoorbeeld je eigen computer waarmee je je website ontwikkelt, maar dus ook de computers van je web developer (het bedrijf dat de website voor je bouwt) infecteren met malware waardoor ze zaken zoals opgeslagen wachtwoorden kunnen stelen of bestanden kunnen infecteren met eigen software die mee wordt geupload naar de server waar je website staat en dan heeft de hacker automatisch toegang tot je website.

Om dit te voorkomen dienen je computers, die gebruikt worden om een website via FTP of SSH toegang te verschaffen, regelmatig te worden gescand op spyware, virussen en malware. Daarnaast mogen niet-gecodeerde wachtwoorden absoluut nooit worden opgeslagen in FTP-programma’s. Daarnaast adviseer ik om gebruik te maken van web developers met een bewezen staat van dienst, die ook procedures hebben, of in ieder geval nagedacht hebben over de doorontwikkeling en beveiliging van door hen ontwikkelde websites.

Tot slot bij dit punt adviseer ik dat, bij elk beveiligd gedeelte van de website, er altijd gebruik wordt gemaakt van een beveiligd en vertrouwd netwerk. Dus benader websites via https in plaats van http waarbij de ‘s’ staat voor secured. Deze security kan weer in verschillende lagen toegepast worden van 128 bits encrypty die dan weer makkelijker te hacken is tot 2048 bits die, want veel zwaarder, zeer moeilijk te hacken is. Deze laatste versie passen wij bij websites en software van Snakeware toe.

3 gebruikte wachtwoorden zijn uitgelekt of niet sterk
Als het gaat om wachtwoorden kunnen deze alleen bescherming bieden voor jezelf of de gebruikers van je website wanneer ze sterk zijn. Dit betekent dat wachtwoorden moeten voldoen aan de volgende criteria.

1 Uniek
Maak voor elk door jou gebruikt softwarepakket een ander wachtwoord. Dus of het nu gaat om FTP, CMS, e-mail, etc., maak altijd unieke wachtwoorden en gebruik nooit meerdere keren dezelfde.

2 Complex
Wachtwoorden moeten niet makkelijk te raden zijn. De beste wachtwoorden bevatten geen woorden en zijn een combinatie van getallen, symbolen, hoofdletters en kleine letters. Een tip die ik je hierbij kan geven is maak van een woord een getallen, symbolen, hoofdletters en kleine letters versie van minimaal 8 karakters.

3 Prive
Hou je wachtwoorden voor jezelf en denk goed na hoe je ze deelt. Dus ook bij het verstrekken van wachtwoorden van je website, bijvoorbeeld bij webshops, naar gebruikers is het verstandig om deze niet als platte tekst te sturen maar bijvoorbeeld als afbeelding. Een andere veelgebruikte oplossing, zoals wij dit bij Snakeware doen, is het versturen van een tijdelijk wachtwoord dat na acceptatie door de ontvanger in de mail zelf aangepast wordt in een uniek en complex wachtwoord.

4 Doe het zelf
Wanneer je wachtwoorden van leveranciers krijgt aangereikt, hoe uniek, complex en prive dan ook, raad ik je aan deze altijd direct te vervangen. Met andere woorden unieke, complexe prive wachtwoorden maak je zelf. Want als één van de door jou gebruikte softwarepakketten gehackt is bestaat de kans dat jou wachtwoord op straat ligt. Dit voorkom je door het “doe het zelf” principe.

5 Regelmatig aanpassen
Door het periodiek bijwerken van je wachtwoorden vermindert de kans dat een uitgelekt wachtwoord kan worden gebruikt om toegang te krijgen tot je website.
Wellicht ten overvloede, maar als je website is gehackt zorg er dan voor dat de hacker geen enkele onbevoegde accounts heeft kunnen aanmaken die vervolgens weer kunnen worden gebruikt voor een volgende hackpoging. Met andere woorden; alle accounts in bijvoorbeeld je CMS grondig checken.

4 Content Management Software vormt een bedreiging
Content management systemen (CMS) worden gebruikt door websites om het gemakkelijker te maken om content te beheren of andere functionaliteit te onderhouden.

Er kleeft ook een groot nadeel aan het gebruik van een CMS en dan met name aan de vele varianten open source software met haar vele plugins en vaak onduidelijke update strategieën. Ongeacht welk open source CMS gebruikt wordt, er zijn altijd gaten in de beveiliging die kunnen worden uitgebuit door hackers.

Om een CMS zo veilig mogelijk te maken en te houden zijn er een aantal fundamentele aanbevelingen die jij of je ontwikkelaar altijd moet volgen:

Werk altijd via https, dus inloggen en werken via secured connecties

Verberg je CMS versienummer en zorg ervoor dat deze niet wordt weergegeven in HTML-opmaak.

Controleer toegangsrechten; wie is wel en wie is niet toegestaan

Verberg je directory structuur – maak gebruik van zoekmachine vriendelijke url’s

Pas encryptie toe bij invoer van gegevens

De programmeurs achter je CMS, Snakeware verzorgt dit proces automatisch voor haar klanten, kunnen bijgewerkte versies of patches ter beschikking stellen bijvoorbeeld wanneer zij beveiligingslekken hebben ontdekt. Ondanks dat het duur of tijdrovend is adviseren wij, als je gebruik maakt van open source en niet zoals bij ons automatisch altijd beschikt over de nieuwste versie van de software, altijd om actief op zoek te gaan naar updates en upgrades van de door jou gebruikte software en zeker ook de door jou gebruikte plugins binnen de website. Dit loont echt en is de moeite meer dan waard. Feit is namelijk dat nadat er een nieuwe update wordt uitgebracht er details over beveiligingsfouten en lekken in de oudere versies worden vrijgegeven. Dit wordt door hackers gebruikt als een simpel stappenplan om te kijken of jou website wel up tot date is of dat hacken van je website kinderspel is, simpelweg omdat jij of je webdeveloper zijn werk niet gedaan heeft.

5 de code is slecht geschreven en vormt daarmee een bedreiging
Slecht gecodeerde website formulieren, dynamische pagina’s en CMS plugins en/of modules kunnen resulteren in makkelijk te misbruiken beveiligingsgaten. Om dit te voorkomen dien je ervoor te zorgen dat alle code die gebruikt wordt in de front-end (zichtbare gedeelte van de website) en middle ware (tussenlaag van de website zoals bijvoorbeeld het CMS) volledig is getest en geschreven is met veiligheid in het achterhoofd. Dus voordat je een 3rd-party plugin of module voor je CMS gaat toepassen moet je onderzoeken of de plugin of module goed geschreven is, aan beveiligingseisen voldoet en door een autortieit op de markt wordt gebracht zodat je hier op kunt vertrouwen.

Verder wil ik de tip geven om je website eens te laten testen door een webdeveloper en deze te vragen om een lijst op te stellen met de 10 mogelijke veiligheidsissues van je website. Je betaalt dan feitelijk voor een aanval op je website en krijgt een lijst met 10 verbeterpunten terug.

Geen enkele website is Hacker-Proof
Zelfs na gebruik van de beste preventieve maatregelen of het inzetten van de beste internetbureaus en hun betrouwbaarste software is het nog steeds mogelijk dat je website wordt gehackt. Daarom is het heel verstandig om regelmatig je bestanden en logfiles te onderzoeken om te bekijken of hier geen wijzigingen in zijn aangebracht waaruit je kunt opmaken dat hackers geprobeerd hebben om zich toegang te verschaffen tot je website.

Met andere woorden; waar rook is is vuur. Als er iets niet in de haak is rond je logfiles of bestanden moet je direct actie ondernemen en de stappen zetten die ik hierboven aan je heb willen uitleggen. Nu begrijp ik dat het actief monitoren van je logfiles en bestanden best een heel karwei is. Natuurlijk verzorgen wij dit automatisch voor onze klanten van Snakeware maar er zijn voldoende 3rd-party monitoring tools die je kunt gebruiken om je te waarschuwen als je website op een oneigenlijke manier wordt benaderd.

Ten slotte een aantal tips om je site uit de gevarenzone van hackers te houden:

Werk altijd met vertrouwde partners

Werk altijd zoveel mogelijk via https met een hoge codering, bijvoorbeeld 2048 bits

Software up-to-date houden – installeer altijd de nieuwste versie van de gebruikte software

Plugins up to date houden – installeer altijd de nieuwste Plugin-versies van de gebruikte software

Vermijd het gebruik van teveel plugins zeker van teveel verschillende aanbieders