Website beveiliging

Is jouw  website goed beveiligd? Er zijn meerdere zaken te beveiligen…

Er dienen ver­schil­lende facetten voor het beveili­gen van een web­site onder­schei­den te worden:

  • het up to date houden van de core en plu­g­in codes,
  • het up to date houden van de web­site host­ing software
  • het beveili­gen van de web­site met een firewall
  • het beveili­gen van de host­ing omgeving
  • het beveili­gen van de accounts die toe­gang hebben tot de website
  • het beveili­gen van de accounts die toe­gang hebben tot de hostingomgeving
  • het gebruik van veilige com­mu­ni­catiepro­to­cols uitrollen die gebruikt wor­den om de web­site te bezoeken

 

Algemeen

Een heden­daagse web­site is vaak gebouwd op basis van een CMS of “con­tent man­age­ment sys­tem”. Dit om het voor de gebruik­er van de web­site erg gemakke­lijk te mak­en om con­tent of inhoud toe te voe­gen of te wijzigen.

Dit heeft zijn voorde­len, maar ook nadelen.

Zo is de onderliggende code van veel web­sites vaak ges­te­und op Word­Press en wordt hier­bij gebruik gemaakt van plu­g­ins of toevoeg­in­gen die een bepaalde werk­ing ver­schaf­fen aan de website.

Een op Word­Press gebaseerde web­site bevat vaak al snel een 15-tal plu­g­ins. Deze zijn meestal van ver­schil­lende software-ontwikkelaars.

Omdat het bij zow­el de Word­Press core als de plu­g­ins om soft­ware gaat, dienen deze geregeld geup­date te wor­den. Het niet updat­en ervan zou kun­nen lei­den tot ongewen­ste toe­gang door onbevoeg­den tot de code van de web­site, met alle gevol­gen van dien.

Daar­naast zijn er ook accounts nodig die toe­gang hebben tot zow­el de web­site zelf als de host­ing omgev­ing van de web­site. Deze accounts dienen over een sterk wacht­wo­ord te beschikken alsook over twee fac­tor authen­ti­catie. Hier­door is een suc­cesvolle brute force aan­val op de account heel vele malen kleiner.

Deze voor­beelden zijn maar een stuk­je uit het geheel van web­site beveilig­ing die noodza­ke­lijk­er wordt met de dag.

Tot ons groot spi­jt komen wij heel erg vaak klanten tegen die met een gehack­te web­site te mak­en kri­j­gen, geen back­up bezit­ten, laat staan een recente back­up die dan nog werkt ook, waar­door zij hun web­site hele­maal vanaf scratch dienen op te bouwen. Wat vaak een heel grote inspan­ning vraagt, zow­el qua tijds­du­ur als finan­ciële middelen.

 

Up to date houden van alle software

Een web­site bestaat uit soft­ware­code die draait op een serv­er. Ook deze serv­er bevat softwarecode.

Als voor­beeld neem ik een Wor­press web­site, met plu­g­ins, die draait op een PHP-serv­er bij een host­ing provider.

Daar ieder stuk soft­ware een bug kan bevat­ten die open­baar wordt gemaakt en waar­van hack­ers graag gebruik mak­en om iemands sys­teem ongewenst bin­nen te drin­gen, is het nodig, wan­neer er vei­lighei­d­sup­dates beschik­baar zijn, deze te installeren.

Dit is dus nodig voor zow­el de Word­Press omgev­ing, de plu­g­ins als de soft­ware bij de host­ing provider. Vaak zorgt de host­ing provider er zelf voor; maar ook vaak dient de gebruik­er bepaalde updates zelf te initiëren.

Heeft u hier vra­gen over, twi­jfel niet vri­jbli­jvend con­tact met ons op te nemen.

 

Beveiligen communicatieprotocols

Vroeger kon iedere web­site bezocht wor­den via het “HTTP”-protocol. Dit is echter niet meer heden­daags, noch veilig. Want de inhoud van de com­mu­ni­catie kon als plain-text meegelezen wor­den door diegene die de com­mu­ni­catieli­jin onder­schep­te. Dit betek­ende con­creet dat bijvoor­beeld de gegevens die wer­den inge­vuld op het con­tact for­muli­er van de web­site, kon­den wor­den mee gelezen bij het onder­schep­pen van de communicatie.

Momenteel wordt er gebruik gemaakt van het “HTTPS”-protocol, dat beveiligd moet zijn met een vei­lighei­d­scer­ti­fi­caat, waar­door meelezen van de gegevens in plain-text niet meer mogelijk is. Bij “HTTPS”-communicatie met onder­s­te­un­ing van een vei­lighei­d­scer­ti­fi­caat is en com­mu­ni­catie tussen de zen­der en ont­van­gen geën­crypteerd. En een­voudig gezegd; wie niet over een geldige sleu­tel (cer­ti­fi­caat) beschikt kan de inhoud van de com­mu­ni­catie niet ontsleute­len. Bij het toch onder­schep­pen van de com­mu­ni­catie kan de inhoud niet als plain-text gelezen wor­den en is dit alleen maar rubbisch.

Zow­el voor het verkri­j­gen, installeren en onder­houden van de vei­lighei­d­scer­tifi­cat­en, als de bijkomende beveiligin­gen zoals TLS1.2 en TLS1.3 als het in order bren­gen van een hele­boel veiligheids-“headers” van uw web­site kan u bij ons terecht.

 

Beveiligen van accounts

Iedere web­site alsook hostin­gomgev­ing, is het nu via een provider of lokaal, heeft een account nodig om aan­passin­gen te kun­nen doen.

Deze accounts kun­nen ver­schil­lende rechtenniveau’s hebben. Zo heeft een admin­is­tra­tor account bijvoor­beeld de meeste recht­en en heeft een gebruik­ers account min­der recht­en en een gast account de min­ste rechten.

Het is daarom erg belan­grijk dat zek­er alle admin­is­tra­tor accounts (alsook al de andere) over een goede beveilig­ing beschikken.

Met een admin­is­tra­tor account bij uw host­ing provider kan u de meest uiteen­lopende zak­en con­fig­ur­eren tot zelf het volledig ver­wi­jderen van uw web­site, maar ook het over­dra­gen van uw domein­naam aan iemand anders. Dit wenst u nooit te moeten meemaken.

Wij zor­gen ervoor dat er alleen sterke lange wacht­wo­or­den met com­bi­natie van kleine en grote let­ters, cijfers en spe­ciale tekens wor­den toege­lat­en en dat er een twee fac­tor authen­ti­catie noodza­ke­lijk is tij­dens het inloggen in uw websiteomgeving.

 

Heeft u vra­gen, twi­jfel niet ons vri­jbli­jvend te con­tac­teren voor meer informatie.