Veiligheid voorop

web security

Zeven tips voor een veilige website

Hoe zorg jij voor dat een website veilig is? Houd je aan enkele simpele regeltjes en je komt al een heel eind in het creëren van een veilige website.

1. Gebruik altijd sterke wachtwoorden

Het belangrijkste en meest onderschatte gevaar van het internet is het gebruik van eenvoudig te kraken wachtwoorden. We weten al jaren dat wachtwoorden als ‘wachtwoord’, ‘123456’, ‘geheim’ of een naam van vrouw/kind in een handomdraai te achterhalen zijn. Toch worden dit soort simpele wachtwoorden nog steeds gebruikt. Sterker nog, teveel mensen gebruiken zelfs een relatief zwak wachtwoord voor al hun online diensten. Steeds opnieuw sterke wachtwoorden bedenken én onthouden is lastig. Er zijn echter handige tools beschikbaar die dit denkwerk voor jou uitvoeren: 1password (1password. com) of Lastpass (lastpass.com/nl). Deze programmaatjes kunnen wachtwoorden tot wel honderd cijfers, letters en vreemde tekens genereren en deze opslaan in “jouw eigen kluis”. Het mooie is dat al je inloggegevens achter slot en grendel worden bewaard. Het enige wat jij moet doen is een sterk masterwachtwoord aanmaken voor je kluis. Dat wachtwoord moet je natuurlijk wel zelf onthouden.

2. Verwijder oude ongebruikte software

Alles wat online staat kan worden misbruikt. Dat geldt niet alleen voor oude bestanden die je onlangs hebt vervangen, maar ook voor oude, uitgeschakelde en ongebruikte plug-ins en modules. Deze hebben vaak een vaste locatie binnen een webapplicatie. Voor wie kwaad wil is er software beschikbaar die op het internet zoekt naar de locaties van zulke kwetsbare, verouderde plug-ins en modules. Heb jij zo’n plug-in of module wel uitgeschakeld in het CMS, maar nog niet verwijderd, dan kan de scansoftware deze bestanden nog steeds aanroepen, uitvoeren en misbruiken. Dus heb je onlangs je oude website vervangen, verwijder dan vooral ook nog even de oude bestanden en uitgeschakelde en ongebruikte plug-ins en modules.

3. Gebruik niet het standaard beheerdersaccount

Het standaard beheerdersaccount van WordPress is admin en dat van Joomla is administrator. Dat weet iedereen. Het is echter mogelijk om de naam van dit beheerdersaccount naar eigen believen aan te passen. Je kunt er zelfs je eigen naam voor gebruiken. Door een ander beheerdersaccount aan te maken, wordt het voor anderen een stuk lastiger om ongeoorloofd op je website in te loggen.

4. Updaten, updaten, updaten

Voor je eigen veiligheid en die van je klanten geldt altijd het advies: updaten, updaten en nog eens updaten. Het is heel belangrijk om altijd de nieuwste versie te installeren van de software die je voor jouw website gebruikt. Het ligt zo voor de hand, maar veel gebruikers laten dit echt te vaak versloffen. Voor bijna elke webapplicatie worden patches, updates en nieuwe versies uitgebracht. Die verhelpen meestal beveiligingsproblemen. Dit geldt voor zowel het core-pakket (de kern van WordPress, Joomla, Drupal of DotNetNuke, etc.) als voor alle bijbehorende plug-ins, modules en extensies. Nieuwe versies verbeteren en optimaliseren veelal ook de code van de software. Jouw website presteert na een update vaak beter dan met de oudere versie.

5. Houd je computer virusvrij

Het is een beetje een dooddoener, deze tip, maar zorg ervoor dat je computer virusvrij is, want 50% van de inbreuken op websites gebeuren via virussen die binnenkomen via de computer van de websitebeheerder. Zorg dus voor een goede virusscanner.

6. Is jouw website besmet?

Raakt jouw website ondanks al deze voorzorgsmaatregelen onverhoopt toch besmet en heb je geen idee hoe dat komt en wat je eraan kunt doen? Lees dan nog even verder. Er zijn meestal drie manieren waarop een website is gehackt:

  1. Een virus op jouw computer heeft het opgeslagen FTP-wachtwoord gevonden en verspreid.
  2. Het CMS waarvan je website gebruik maakt kent een kwetsbaarheid.
  3. Het FTP-wachtwoord was te eenvoudig en is gekraakt (brute-force).

Een oplossing bestaat in ieder geval uit de volgende stappen: a) Scan je computer(s) op virussen of malware, b) wijzig alle wachtwoorden, c) pas je inloggegevens aan, d) zet een schone back-up terug, e) werk alle software bij naar de laatste versie, f) kom je er niet uit? Schakel een professional in.

7. Kies altijd voor een beveiligde SSL-verbinding

Last but not least. Voor jouw veiligheid en die van je klanten heb je een SSL-certificaat nodig. Dankzij een beveiligde SSL-verbinding kan niemand stiekem privacygevoelige informatie afluisteren. Je beschermt hiermee bijvoorbeeld je eigen inlog op je website. Maar veel belangrijker: je beschermt tevens de privacy van je klanten. Als zij hun persoonsgegevens (naam, wachtwoorden en creditcardgegevens) op jouw website achterlaten, gebeurt dat dus via een versleutelde verbinding. En dat stellen jouw klanten zeer op prijs.

Peter de Wit

Peter de Wit

Webredacteur Vevida

Deel dit artikel of reageer